Certamente já teve a experiência de entrar no homebanking e ser-lhe pedido para introduzir um código de autenticação após inserir o seu username e password. Esta é uma forma de exemplificar o que é o 2º fator de autenticação (2FA) e o que significa como elemento adicional de segurança nos acessos a aplicações corporativas.
O próprio trabalho remoto veio trazer novos desafios à cibersegurança, pelo facto de aumentar os acessos fora do local de trabalho das empresas através de ligações VPN. Estas ligações permitem que um colaborador estabeleça uma ligação segura (encriptada) entre o seu posto de trabalho e a empresa, permitindo assim o acesso a sistemas corporativos, como se estivesse fisicamente no escritório.
No entanto, as ligações VPN não são uma solução perfeita e estão sujeitas a ameaças de segurança, sendo o mais habitual o “Phishing” que representa o roubo das credenciais dos utilizadores. Com esse roubo de credenciais, os atacantes conseguem estabelecer a ligação VPN à empresa e ter acesso aos sistemas, fazendo-se passar por um colaborador, colocando a mesma em risco.
Para fazer face a esta falha de segurança, a solução recomendada para as empresas é a implementação de um 2º fator de autenticação (2FA) associado a essa ligação VPN.
Segundo a Microsoft, o 2FA pode prevenir 99,9% dos ataques às suas contas.
Esse segundo fator de segurança, também designado por TOKEN, é uma password que só pode ser utilizada uma vez, e que é enviada para o utilizador (após a sua validação de autenticação) por SMS ou através de uma aplicação, sendo necessário a colocação da mesma na autenticação, para ser possível estabelecer a ligação VPN.
Uma solução de 2FA permite prevenir 100% dos ataques de "bots", 99% dos ataques de phishing “em massa”, e 90% dos ataques direcionados.
Para além disso, é importante referir a importância do fator humano na segurança dos sistemas de informação:
- O facto de não mudar de password ou ter uma password fraca a nível de segurança, torna os acessos mais vulneráveis e funcionam como “ponto de entrada” destes atacantes.
- Garantir o envolvimento e formação dos colaboradores para que estes conheçam os riscos e saibam proteger-se
- E proteger os acessos aos sistemas da empresas com uma autenticação mais forte.
Este método, em conjunto com as restantes ações a serem desenvolvidas, pode diminuir a probabilidade de sofrer um ataque informático na empresa. Aplique estas boas práticas na sua empresa e proteja os seus dados de negócio e os seus colaboradores.
Tiago Pereira | Manager MS Security, Soluções Empresariais
Licenciado em Engenharia Informática na UNI, o Tiago Pereira está na NOS desde 2014, com experiência em clientes empresariais na área de Networking e Segurança.
