As violações de dados estão se tornando comuns em pequenas e grandes empresas de tecnologia. A vítima mais recente foi a empresa de telecomunicações australiana Optus, resultando no acesso não autorizado aos dados de identidade de cerca de 10 milhões de pessoas.
Somando-se à miséria das vítimas, esse ataque cibernético desencadeou ainda mais uma infinidade de tentativas subsequentes de phishing e fraude usando os dados obtidos com essa violação.

Ter medidas de segurança mais rigorosas ao fazer login pode ajudar a proteger suas contas e reduzir significativamente a probabilidade de muitos ataques cibernéticos automatizados.

A autenticação multifator (MFA) é uma medida de segurança que exige que o usuário forneça dois (também conhecida como verificação em duas etapas ou autenticação em duas etapas) ou mais provas de identidade para obter acesso a serviços digitais. Isso normalmente requer uma combinação de algo que o usuário sabe (pin, pergunta secreta), algo que você tem (cartão, token) ou algo que você é (impressão digital ou outra biometria).

Por exemplo, o Australian Tax Office recentemente reforçou algumas regras para provedores de serviços digitais sobre o uso obrigatório de autenticação multifator. Se você usa determinados serviços, já está familiarizado com a MFA.

Mas nem todas as soluções de MFA são iguais, com estudos recentes demonstrando maneiras simples de subverter métodos mais comuns que são usados ​​para realizar ataques cibernéticos.

Além disso, as pessoas também preferem diferentes opções de MFA, dependendo de suas necessidades e nível de conhecimento técnico.

Então, quais são as opções atualmente disponíveis, seus prós e contras e para quem são adequadas?

Existem quatro métodos principais de autenticação multifator

SMS :atualmente a opção mais comum envolvendo uma senha de uso único (como um código) enviada por mensagem de texto. Embora bastante popular e fácil de usar, a senha ou código enviado para você pode ser hackeado por aplicativos maliciosos no telefone ou redirecionando o SMS para um telefone diferente. O método também falha se o smartphone não tiver serviço ou estiver desligado.

Baseado em autenticador :outro método comum, no qual um aplicativo instalado em seu smartphone (como o Google Authenticator) gera senhas de uso único válidas por um período de tempo muito curto, como 30 segundos. Embora mais seguros do que mensagens de texto, aplicativos maliciosos ainda podem roubar essas senhas de uso único. O método também falha se o seu smartphone estiver sem energia.

Aplicativo para dispositivos móveis :semelhante aos aplicativos autenticadores, mas um usuário recebe um prompt de verificação em vez de uma senha de uso único. Isso requer que seu smartphone tenha uma conexão ativa com a Internet e esteja ligado.

Chave de segurança física :O mecanismo mais seguro; ele usa uma chave de segurança de hardware (como YubiKey, VeriMark ou Feitian FIDO) que precisa ser conectada ao dispositivo para verificar a identidade – muitas delas se parecem muito com pendrives USB. É o método líder atual suportado por empresas como Google, Amazon e Microsoft, bem como agências governamentais em todo o mundo.

Cada um desses quatro métodos varia em usabilidade e segurança. Por exemplo, apesar das chaves de segurança física oferecerem o maior nível de segurança, a taxa de adoção é a mais baixa, com números sugerindo apenas 10% de aceitação.

Preferência importa

Não apenas os diferentes tipos de autenticação multifator variam em segurança, mas também têm diferentes níveis de popularidade. Isso resulta em uma discrepância entre os mais confiáveis Método MFA (a chave de segurança física) e qual é realmente o mais amplamente usado (SMS).

Nossa equipe do Centro de Pesquisa e Inovação em Segurança Cibernética da Deakin University realizou recentemente um estudo sobre a adoção de tecnologias MFA. Pesquisamos mais de 400 participantes pertencentes a diferentes faixas etárias, formações educacionais e experiência com MFA.

Os resultados de nosso estudo indicam que as preferências das pessoas são afetadas não apenas por suas necessidades de segurança, mas também pela usabilidade. A maioria dos usuários se preocupava mais com a simplicidade do método MFA — isso explica claramente por que as soluções baseadas em SMS ainda dominam o cenário, embora existam alternativas mais seguras.

Em nosso estudo de acompanhamento, os usuários receberam as chaves de segurança física mais populares por um mês, para testar sem supervisão. Os resultados preliminares sugerem que a maioria dos usuários considerou as chaves físicas eficazes e intuitivas de usar.

No entanto, a falta de suporte da plataforma e instruções de configuração criaram uma percepção que essas chaves eram difíceis e complexas de instalar e usar, resultando em uma falta de vontade de adotar.

Um tamanho não serve para todos

Acreditamos que deve haver uma consideração cuidadosa antes que qualquer agência governamental ou empresa ordene a MFA, com algumas etapas importantes a serem consideradas.

Pessoas e organizações diferentes terão necessidades diferentes, portanto, em alguns casos, uma combinação de métodos pode funcionar melhor. Por exemplo, uma solução baseada em SMS pode ser usada em conjunto com uma chave de segurança física para acesso a sistemas de infraestrutura crítica que precisam de níveis mais altos de segurança.

Além disso, a educação e a conscientização do usuário são vitais. Muitas pessoas não estão cientes da importância da MFA e não sabem quais métodos são os mais seguros.

Ao assumir alguma responsabilidade pessoal e usar métodos altamente eficazes, como chaves de segurança físicas para proteger nossas contas mais vulneráveis, todos podemos fazer nossa parte para tornar a web um lugar mais seguro. + Explorar mais

O Google atualiza sua linha de chaves de segurança Titan com versões USB-A e USB-C

Este artigo é republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.