Autenticação multifator do LastPass

A autenticação multifator, também conhecida pela sigla MFA, é um meio de fazer login em contas digitais. Com a MFA, o usuário final deve passar por um processo de múltiplos métodos de autenticação para ter acesso à sua conta.

Por exemplo, a autenticação de um único fator é a forma de login mais comum que existe e envolve apenas um nome de usuário/e-mail e uma senha. Quando informadas corretamente, essas credenciais dão acesso à conta. O problema desse tipo de autenticação é a facilidade com que hackers podem ter sucesso em ataques de força bruta.

Já a autenticação de dois fatores, chamada também de 2FA, adiciona mais uma forma autenticação ao combo nome de usuário e senha. Normalmente, o usuário recebe uma notificação push no celular ou um SMS com um código de uso único. Esse tipo de autenticação intensifica a segurança porque exige outra confirmação da identidade além da senha.

A autenticação multifator vai ainda mais longe por exigir dois ou mais métodos de autenticação além do combo nome de usuário e senha. Esses métodos extras podem estar ligados à biometria (como leitura de impressões digitais e reconhecimento facial) e ao contexto do usuário, como verificação do endereço IP, geolocalização, entre outros fatores.

A MFA permite combinar tudo isso para intensificar a segurança, sem prejudicar a experiência dos usuários. Por exemplo, além do nome de usuário e da senha, é possível exigir que os usuários informem um código de uso único, leiam suas impressões digitais e estejam em um determinado lugar, a fim de confirmar que a solicitação está mesmo vindo de onde a empresa espera.

Os três tipos mais comuns de MFA estão ligados a algo que o usuário sabe, algo que o usuário tem e algo que o usuário é:

• Algo que o usuário sabe: normalmente, é uma senha exclusiva que o usuário criou ou a resposta a uma pergunta de segurança que só o usuário sabe qual é, por exemplo, o nome do professor preferido do ensino médio, o nome do primeiro bichinho de estimação ou a marca e o modelo do primeiro veículo.
• Algo que o usuário tem: para a MFA, costuma envolver um celular ou uma chave de segurança que deve ser conectada à porta USB do computador. Um celular de confiança do usuário pode receber notificações push pedindo a aprovação da autenticação, ou o usuário pode inserir uma chave de segurança para confirmar sua identidade.
• Algo que o usuário é: abrange características biológicas que pertencem apenas ao usuário. Esses métodos de MFA usam a biometria, como reconhecimento facial e leitura de retina e de impressões digitais.

Há também um quarto tipo, mas que normalmente é implementado apenas por empresas que desejam alcançar o mais alto nível de segurança, por exemplo, nos casos em que lidam com dados de usuários. Esse tipo não depende de algo, mas, sim, de um lugar, pois a identidade do usuário é confirmada com base em sua localização. A MFA baseada em local e horário é conhecida como MFA contextual, concedendo acesso apenas a usuários que estiverem fazendo login a partir de um determinado local ou durante um período definido.

Por exemplo, com a MFA contextual, um administrador pode definir métodos de acordo com o usuário final. Então, o acesso de um usuário que mora em São Paulo só pode ser aprovado se ele fizer login entre 8h e 18h do horário de Brasília e estiver a um raio de 50 km de São Paulo.

O LastPass oferece diversos tipos de autenticação multifator. Os usuários podem conectar suas contas do LastPass a outros serviços, como os aplicativos de autenticação Microsoft Authenticator ou LastPass Authenticator. Outra opção é utilizar métodos de MFA nativos de seus celulares, como a leitura de impressão digital, para ativar a MFA por biometria.

As senhas são consideradas uma forma de autenticação de um único fator. Elas são a primeira camada de proteção de uma conta. O usuário cria uma senha exclusiva que só ele sabe e, para acessar uma conta, ele precisa informar corretamente essa senha no momento do login.

Autenticação multifator é qualquer situação em que há a exigência de mais de dois fatores de autenticação para efetuar o login. Normalmente, a MFA contempla três tipos de autenticação, mais ou menos assim:

1. O usuário informa corretamente seu nome de usuário e senha;
2. Em seguida, informa um código de uso único que recebeu no celular como um SMS;
3. Faz a leitura da impressão digital no celular para confirmar sua identidade física.

Essas duas etapas extras protegem as contas contra hackers porque exigem elementos que são praticamente inalcançáveis: o acesso ao celular pessoal e às informações biométricas do usuário.

A autenticação multifator padrão está disponível em todos os planos, do LastPass Free ao LastPass Business. Isso vale também para o login sem senha no cofre; no entanto, usuários do plano LastPass Free só podem utilizar o aplicativo LastPass Authenticator para ativar o login com MFA sem senha.

Métodos de MFA que exigem recursos de hardware, como leitores de impressões digitais e chaves de segurança como a YubiKey, estão disponíveis apenas nos planos pagos do LastPass.

Recursos de MFA para VPNs, estações de trabalho, aplicativos locais e provedores de identidade estão disponíveis pelo complemento Advanced MFA, oferecido apenas para contas do LastPass Business.