O que é autenticação adicional (step-up authentication) e como ela funciona?
A autenticação adicional (do termo em inglês step-up authentication) se refere à prática de solicitação de etapas adicionais de autenticação de um usuário, com o objetivo de impedir que ações de alto risco que envolvam informações ou transações sensíveis sejam realizadas por outros usuário não autorizados pelo dono da conta. Esta introdução de camadas adicionais de segurança de contas é geralmente aplicada a atividades específicas que o usuário deseje realizar.
Um exemplo de etapa adicional de autenticação é quando um usuário está logado em sua conta do banco ou de algum e-commerce e pretende realizar algo considerado sensível, como uma compra ou transferência em dinheiro. Nesse caso, o usuário será solicitado a prover informações adicionais que comprovem sua identidade e garantam que o usuário que está relizando esta ação é o usuário legítimo.
Autenticação Adicional x Autenticação Multifator
O termo "autenticação adicional" é utilizado para descrever o processo através do qual uma forma adicional de identificação é solicitada, de acordo com o nível de risco que uma determinada atividade pode representar, caso realizada por fraudadores. Para a autenticação adicional, as empresas podem optar por implementar diferentes ferramentas, como senhas de uso único via SMS, a exigência de uma chave de segurança ou utilização de um aplicativo de autenticação, entre outros.
A autenticação multifator (MFA), por outro lado, faz parte do fluxo de autenticação padrão e exige que os usuários forneçam dados que validem sua identidade através de dois ou mais fatores de autenticação, o que pode incluir algo que você sabe, algo que você tem ou algo que você é. A MFA também é usada como parte da estratégia para implementar a autenticação adicional.
Realizar o login em um aplicativo ou em um site e-commerce podem ser exemplos que ilustram como a autenticação multifator e a autenticação adicional funcionam de maneiras diferentes na prática. Geralmente, os usuários podem navegar pelos detalhes do produto e adicionar produtos ao carrinho com frequência sem que seja exigida nenhuma forma de autenticação. Uma vez que um usuário deseja finalizar sua compra, ele será solicitado a realizar o login na sua conta, usando suas credenciais, mais comumente representadas pela associação de um nome de usuário e senha. Cada vez mais, as empresas de serviços financeiros exigem que os usuários façam login usando autenticação multifator, o que significa o uso de mais dois métodos de autenticação. O uso de MFA é uma resposta a um grande número de credenciais roubadas disponíveis para compra na DarkWeb e ao crescente uso de técnicas de engenharia social para roubar dados pessoais dos usuários. O uso da MFA torna mais difícil para os fraudadores assumirem as contas dos usuários apenas a partir de credenciais estáticas.
Uma vez conectado ao aplicativo, se uma ação particularmente sensível for solicitada pelo usuário, isso pode acionar a autenticação adicional, que inclui fatores extras de autenticação necessários para garantir a legitimidade daquele usuário.
Então, autenticação adicional e autenticação adaptativa são a mesma coisa?
Autenticação adicional pode ser considerada um tipo de autenticação adaptativa. Ao invés de sempre exigir que o usuário insira múltiplas informações que provem sua identidade, o que pode resultar em uma experiência ruim, a estratégia de implementar a autenticação adicional é uma forma de adaptação ao nível de risco daquela ação que está prestes a ocorrer. Autenticação adaptativa analisa o contexto da situação, tal como o tipo da ação que será realizada, ou o endereço IP cruzado com a localização do usuário e o nível de risco associado, por exemplo. A depender do resultado da avaliação de risco, a autenticação adicional será solicitada para os casos de alto-risco.
Exemplos de autenticação adicional em ação
- O usuário insere dados de acesso incorretos repetidamente
Quando um usuário insere credenciais de acesso, tais como senhas incorretas, diversas vezes, isso pode ser percebido como um comportamento suspeito ou de algo risco, que dispara a solicitação para autenticação adicional. Neste caso, o usuário recebe um link via e-mail, o chamado magiclink, que, ao ser clicado, o redireciona para resetar sua senha.
- Usuário realiza o login a partir de uma nova localização, não de um local mapeado em seu padrão de localização usual
Se o usuário faz o login em uma conta de aplicativo a partir de uma localização confiável, ou seja, uma localização visitada com frequência e que compõe seu padrão de localização, esse login pode ser considerado de baixo risco, de modo a requerer uma autenticação simples, de fator único. Por sua vez, se o usuário estiver em um local não frequentado anteriormente e, a partir dessa localização, tenta performar uma ação sensível em sua conta, como, por exemplo, transferir uma quantia alta em dinheiro, a autenticação adicional será acionada e o usuário será solicitado a inserir credenciais ou dados extrais, tais como um código de uso único, para verificar que ele é um usuário legítimo.
Em resumo, a autenticação adicional é acionada em situações em que o usuário executa ações de alto-risco que requerem a confirmação de sua legitimidade. Por outro lado, a autenticação multifator é parte de um fluxo padrão de autenticação em uma conta e consiste em exigir dois ou mais fatores de autenticação para aumentar a segurança daquela conta determinada.