Explorando MFA: Olhando para a autenticação de uma perspetiva de produto

No panorama digital, se todas as aplicações fossem usadas da mesma maneira para entrar, poderíamos poupar tempo e recursos simplificando a forma como provamos quem somos? Parece possível, certo? Como quando utilizas a opção "Continuar com o Google" para tudo, ou apenas uma combinação de email e palavra-passe para todas as tuas coisas.

Mas a história real é mais interessante. Cada aplicação tem a sua forma única para garantir que és realmente tu a entrar. Esforçamo-nos neste processo de verificação para manter as coisas seguras, equilibrar as experiências do utilizador e respeitar as preferências de privacidade de cada utilizador.

Como não há uma fórmula mágica para todos, vamos decompor como a verificação funciona e criar designs que correspondam ao serviço.

O básico: duas partes da autenticação#

Autenticação, a palavra sofisticada para verificar quem és, é composta por duas coisas: um Identificador e um Fator de Verificação.

Pense no Identificador como dizer "Olá, sou a Sarah." Pode-se pensar, "Oh, é a Sarah, fixe." Mas a segurança pergunta, "É realmente a Sarah? Será que a Sarah possui as credenciais necessárias para ganhar acesso?" É aí que entra o Fator de Verificação. Vamos colocar isto em termos técnicos.

Identificadores: a tua ID digital#

Os identificadores determinam a que um utilizador pode aceder. Como os recursos são sempre escassos, a tua identidade é o teu passe único. Passo um: insere o teu identificador na página de login. Mas não estamos a ir com Apelido ou Nome Completo – isso é uma sobrecarga de pesquisa prestes a acontecer. Os identificadores que podem ser usados são:

• ID de Utilizador: Tecnicamente inalterável e único. É como para a gestão de administradores, mas os utilizadores não se lembrarão destes para cada produto.

• Nome de Utilizador: Uma iteração amigável do ID de Utilizador. É único e não pode ser repetido num sistema de contas. As plataformas sociais personalizam perfis, mas para manter a estabilidade de reconhecimento, tem de ser o Nome de Utilizador. Alterações limitadas, talvez até pagas.

• Número de ID: Como cartões de identificação, IDs de estudante ou números de cartão de banco, são identificadores sólidos e únicos. Embora não sejam facilmente lembrados, podem ser recuperados como um mecanismo de backup confiável se esqueceres o teu ID principal.

• Email ou Número de Telefone: Ao contrário do nome de utilizador que frequentemente é esquecido, a info de contacto é mais memorável. Usar um Email ou Número de Telefone como identificador impede que utilizadores inativos ou que tenham sido lembrados durante um longo período se esqueçam da sua identidade, reduzindo o risco de queda potencial. Embora esta conveniência seja amigável para o utilizador, gerir a interação entre "indivíduos, emails e contas" pode complicar a estrutura do teu produto. Considere o Instagram: (1) Permite múltiplas contas usando um único Email; (2) Múltiplos endereços de email podem ser adicionados ao perfil do Instagram para login ou recuperação; (3) O Instagram permite logins simultâneos em contas, independentemente da correspondência de email. Enquanto as contas geralmente têm recursos separados, o Instagram permite a fusão de informações de conta, promovendo validação coesa, anúncios direcionados e recomendações personalizadas.

  

Fatores de verificação#

Os fatores de autenticação são as ações que provam que és mesmo tu. Existem muitos fatores divididos por atributos para escolher:

Teoricamente, podes misturar estes Fatores de verificação com qualquer Identificador para provar que és tu. Comum: Endereço de email (ID) e Código de verificação por email (Fator). Mas podes misturar: Endereço de email (ID) e Código de verificação por SMS (Fator).

Porque o mal está à espreita, um único fator não é suficiente. É aí que entra a Autenticação Multi-factor (MFA). Quando te identificas, o primeiro passo de autenticação (1FA) é obrigatório, mas podem haver mais passos, um segundo (2FA), e até um terceiro. Além disso, quando solicitas acesso a recursos críticos dentro da app, serás obrigada a reverificar a tua identidade. Estas camadas adicionais oferecem uma segurança aumentada contra atores maliciosos. Este leque todo é MFA.

Desenha o teu fluxo de autenticação#

Voltando ao início – porque é que cada app tem uma combinação diferente de Identificadores e Fatores de autenticação? É sobre a experiência do utilizador.

Ser demasiado rigoroso com a verificação pode irritar os utilizadores, pensando, "Por que é que isto é tão difícil?" Ser demasiado relaxado pode levar a contas hackeadas e caos. Então, de quem é o problema?

Três princípios de coreografia:

Garante que os teus utilizadores reais conseguem entrar#

As pessoas às vezes esquecem IDs ou perdem passos de verificação. Para aliviar potenciais encargos de suporte, precisamos de formas de ajudar:

1. Oferece vários fatores para verificar – geralmente pelo menos dois para MFA. Porque a biometria é fixe, mas não funciona quando não é reconhecida; por vezes, os utilizadores podem perder dispositivos.
2. Ter opções para recuperar a verificação – como "Esqueci-me da palavra-passe" ou encontrar o teu ID novamente. No entanto, antes da recuperação, a verificação de identidade preliminar também é necessária, o que geralmente difere do processo de login.
3. Fornecer informações de contacto para recuperação através do serviço de atenção ao cliente ou administradores como backup.

Verificação sem lacunas#

Verificar não é perfeito, e a autenticação em dois passos nem sempre é mais segura. Lembra-te:

1. No fluxo de MFA, o segundo passo da autenticação deve possuir diferentes atributos (Conhecimento/Posse/Inerência) do primeiro. Por exemplo, usar "Palavra-passe (Conhecimento)" como 1FA e "OTP de app autenticadora (Posse)" como 2FA pode parar vários vetores de ataque.
2. Os métodos de recuperação não podem saltar a MFA. Por exemplo, se puderes "esquecer a palavra-passe" através de SMS, não podes também usar SMS como o segundo fator de autenticação. Outra opção é adicionar 2FA ao processo de "esquecer a palavra-passe", embora isso possa parecer intrincado.
3. Considera tempo de espera ou limitação de taxa. Após várias tentativas de verificação incorretas, restringir a taxa de verificações subsequentes. E não permitir intervalos longos entre passos na verificação de múltiplos passos.

Equilibrar a experiência do utilizador#

Nem toda a ação precisa de 1FA ou 2FA. É sobre a situação, não sempre seguir os mesmos passos.

1. Dá capacidade personalizada a diferentes funções: Garantir a segurança dos recursos é, principalmente, responsabilidade do produto, mas é também dever de cada um. Estratégias para obrigar MFA podem ser personalizadas com base na natureza do serviço: MFA de utilizador universal dentro da app, MFA conduzida por organização, e MFA conduzida por decisão do utilizador.
2. Aproveitar a MFA adaptativa: Para cenários envolvendo potenciais riscos ou operações de grande importância, mandar verificação é pragmático. Em contraste, ambientes seguros ou operações de baixo risco podem requerer acesso simplificado através de sessões retidas, passos de verificação minimizados, ou até mesmo acesso como convidado. Notavelmente, isso depende da consideração do contexto do utilizador.
   • Ambientes não seguros: Como novos dispositivos, locais de viagem não característicos ou IPs não confiáveis.
   • Ações sensíveis: Como envolver acesso a dados encriptados, grandes transações financeiras, ou mudar métodos de verificação.

Para mais detalhes, verifica as diretrizes de Níveis de Garantia de Autenticação (AAL) da NIST.

Notas finais#

Ao concluirmos a nossa exploração da autenticação e verificação multi-factor (MFA), esperamos que tenhas adquirido insights sobre o papel vital que desempenham nas nossas vidas digitais. A MFA, misturando identificadores e fatores de verificação, cria um escudo robusto que mantém o acesso seguro enquanto proporciona interações amigáveis ao utilizador.

A notícia excitante é que a MFA da Logto está no horizonte. Para indivíduos e negócios, a Logto garante interações online seguras.