Produtos
Soluções
Tudo que você precisa saber sobre Autenticação de Dois Fatores (2FA)

Tudo que você precisa saber sobre Autenticação de Dois Fatores (2FA)

A autenticação de dois fatores pode ser usada de várias maneiras para proteger os dados dos seus clientes. Saiba os benefícios, como funciona, melhores práticas e muito mais sobre 2FA!

Você nem sempre se dá conta, mas provavelmente faz algum tipo de autenticação de dois fatores todos os dias.

Pode ser algo simples como digitar uma senha ao passar seu cartão, fornecer um código extra para seu banco, colocar sua digital para acessar um app. Todos esses exemplos são formas de 2FA e todas elas têm o objetivo de permitir acesso às contas e plataformas, enquanto garantem uma camada extra de segurança para a empresa e para os clientes.

Neste artigo, vamos falar de tudo o que você precisa saber sobre o 2FA para que ele possa se tornar parte integrante dos seus processos de segurança e que seus clientes fiquem protegidos verdadeiramente.

O que é 2FA (autenticação de dois fatores)?

Autenticação de dois fatores (ou 2FA) é uma camada extra de proteção na qual o usuário deve inserir uma segunda confirmação de identificação. Isso pode acontecer, por exemplo, ao inserir um código extra após preencher o login e a senha para acessar uma conta, sistema, plataforma ou aplicativo. 

O objetivo é garantir com mais certeza que o usuário que está tentando acessar uma conta é quem ele diz que é e impedir que outras pessoas tenham acesso aos seus dados.

O que pode ser usado como um fator de autenticação? 

Os fatores de autenticação são as informações que você precisa para ter acesso a uma conta. O primeiro fator de autenticação necessário é bastante padrão: seu nome de usuário e senha. Mas antes que você possa completar seu login, o 2FA requer um segundo fator para validar sua identidade.  

Há três tipos principais de fatores de autenticação: 

  • O que você sabe: uma senha extra, um PIN, ou uma resposta a uma pergunta de segurança. 
  • O que você tem: um telefone, cartão ou token. 
  • O que você é: biometria como uma impressão digital, retina, rosto ou voz. 

Esses fatores podem ser misturados e combinados de formas diferentes, para criar a estratégia mais adequada ao propósito de sua empresa.  

Tipos de PIN 

Em geral há dois grandes grupos de PIN que você pode enviar para seu usuário:

  • Através de um canal, como SMS, e-mail ou push. O código enviado para este canal será inserido na tela de autenticação para a validação e acesso do usuário.
  • Através de um app de autenticação (TOTP). Esses softwares geram códigos aleatórios para todas as contas que você tem associadas a eles. Essas senham são renovadas a cada 30 segundos. O Google, por exemplo, possui uma versão desse gerador de PINs, o Google Authenticator. Existem também o Duo Mobile, Last Pass entre outros. Esse tipo

Você pode criar sua estratégia de 2FA em mais de um canal – integrando melhor a segurança à estratégia de comunicação atual de sua empresa. Os canais de 2FA comuns incluem: 

Lembre-se que, especialmente para momentos críticos da sua jornada, é essencial ter um processo de failover rodando. Ou seja, se o usuário – por qualquer razão que seja – não puder receber o PIN pelo canal indicado inicialmente, ele será enviado automaticamente por outro. Desta forma, garante-se que ele tenha acesso a nova camada de proteção. 

Por exemplo, o app financeiro PicPay tem sua estratégia de 2FA prioritariamente baseada no envio de SMS. No entanto, eles implementaram o WhatsApp como failover para garantir que, nos casos de seus usuários estarem sem conexão à rede de telefonia, eles ainda assim terão acesso aos seus PIN através de uma conexão com a internet. 

Como o 2FA funciona? 

O uso mais comum do 2FA é quando um cliente faz o login usando uma senha e depois é enviado um código OTP (one-time pin) para confirmar sua identidade. 

Eles podem então ser apresentados com uma lista de opções para escolher como gostariam de confirmar sua identidade. 

Em seguida, um código de verificação será enviado através do método escolhido pelo cliente. 

Esse segundo fator funciona liberando um PIN para ser usado, que não pode ser replicado uma vez que tenha sido usado. Uma notificação de verificação será então recebida, e a identidade poderá ser confirmada. 

Outra opção – e também a mais antiga – é a de usar um token em USB. Neste caso, quando o USB é conectado ao computador, ele age como uma segunda autenticação de identidade e libera o acesso ao usuário.

Para ler mais sobre a tecnologia por trás da autenticação de dois fatores, veja nossa visão geral do processo 2FA aqui

Em quais etapas da jornada do seu cliente você deve habilitar a autenticação em dois fatores? 

Engana-se quem pensa que a autenticação de identidade deve acontecer apenas no momento de login do usuário. Hoje, a experiência no uso de plataformas e apps apresentam diversos momentos que não é apenas interessante, mas necessário, uma verificação extra para garantir que quem está tentando fazer aquela ação é realmente quem eles dizem ser.

As principais etapas a serem consideradas como críticas para autenticações extras são:

  • Criação de uma nova conta;
  • Login na conta;
  • Adicionar um novo dispositivo a essa conta;
  • Durante uma transação (finalização de uma compra, transferência de dinheiro, pedido de empréstimo, mudança no pacote de serviços contratado);
  • Alterações nas configurações da conta (troca de senha, adicionar/alterar dados, cancelamento da conta)

Ou seja, você deve exigir uma autenticação de dois fatores sempre que seu usuário for fazer uma ação e, com ela, ter acesso a dados valiosos. 

É importante levar em conta que seu processo de autenticação de dois fatores deve estar de acordo com a ação que você exigirá do usuário. Se ele for apenas acessar a sua conta, um PIN extra pode ser suficiente. Já para autorizar um empréstimo alto, você pode exigir a biometria dele para garantir a segurança da transação.

Por que as senhas não são mais o suficiente?

Não é segredo que lembrar de múltiplas senhas é frustrante. Segundo a Verizon, em 2021, 81% das violações de dados foram causadas pela falta de segurança das senhas. 

Afinal, as pessoas gostam de usar senhas simples e reutilizá-las em múltiplas contas. Na verdade, 76% dos millennials admitem reutilizar suas senhas. Isto torna mais fácil para os hackers adivinharem e acessarem seus dados e informações e aumenta a necessidade de 2FA.   

Aqui estão alguns erros comuns que as pessoas cometem ao criar uma senha: 

  • Usar uma informação pessoal (nome de pet, data de aniversário, cidade de nascimento, etc);
  • Alterar apenas um dígito ou caractere em uma senha antiga;
  • Reutilizar senhas antigas;
  • Substituir uma letra por um número de aparência semelhante (ex. ‘@’ por ‘a’);
  • Usar uma palavra em vez de uma frase ou frase aleatória;
  • Usar apenas 8 caracteres.

Reconheceu algum desses erros? Pois é! Muitos de nós cometemos um ou mais deles e, por isso, é fundamental termos outras etapas que garantam nossa segurança e a dos nossos dados. 

Por que a autenticação de dois fatores é importante?  

A segurança de seus clientes deve ser uma de suas maiores prioridades. Se eles sofrerem uma quebra de segurança, isso pode refletir em um término do relacionamento dele com a sua empresa – e em alguns casos até em processos. 

De acordo com a Verizon, 80% das violações cibernéticas poderiam ser evitadas com o uso de 2FA, ou seja, um simples SMS poderia evitar muitos problemas já que é menos provável que alguém consiga obter a sua senha e também o seu telefone.

Recentemente o Google também anunciou um levantamento que mostrou que 100% dos bots automatizados, 99% dos ataques de phishing e 66% dos ataques direcionados foram bloqueados por processos de autenticação de dois fatores. 

Em resumo, a 2FA é importante porque proporciona uma camada extra de segurança e dificulta o acesso dos criminosos às suas contas. A simples adição de uma camada de 2FA aos logins e processos de transação pode aliviar seriamente o risco de invasões e fraudes. 

É interessante lembrar que ter soluções como esta é valioso também pensando na prevenção ao vazamento de dados que podem ser criminalizados sob a Lei Geral de Proteção de Dados Pessoais (LGPD).

Quais são os benefícios do 2FA 

1. Autenticação sem atritos

Você tem medo de interferir na experiência dos seus consumidores adicionando etapas de autenticação extras? Não se preocupe, você tem diversas opções para tornar essa verificação o mais fluida possível. 

Por exemplo, através de mensagens push. Com elas, não é necessário inserir um código PIN para confirmar a autenticação, apenas um clique é suficiente! Em outros casos, usar a biometria pode ser a melhor opção porque não exige que seus clientes saiam do aplicativo em que estão.

No final das contas, a segurança deve ser prioridade, mas a experiência do usuário não pode ser deixada de lado. Por isso, você pode permitir que seu usuário escolha qual método de verificação é mais conveniente para ele. E, assim, criar uma experiência omnichannel prática e positiva.

2. Segurança mais forte 

A 2FA diminui fortemente as chances de um invasor ser capaz de se passar por um outro usuário e ter acesso aos dados e informações contidas em uma conta. Isso porque ele teria que ter acesso a vários tipos de dados para conseguir hackear a autenticação em dois fatores (senha + biometria; senha + celular etc).

Desta forma, o risco de fraudes e vazamentos cai vertiginosamente mesmo com o 2FA mais simples e mantém seus clientes mais seguros.

3. Aumento da produtividade e flexibilidade 

As empresas que adotam novas tecnologias provavelmente terão mais produtividade ao otimizarem seus processos de autenticação de identidade. Afinal, se você fizer bom uso dessa tecnologia, seus clientes se beneficiarão de cadastros mais rápidos, seguros e adaptados às suas necessidades e preferências.

Além disso, as empresas que fazem uso de 2FA internamente para que seus funcionários possam acessar com segurança apps corporativos, dados, documentos e sistemas administrativos também auxiliam na produtividade da equipe ao permitir que essas consultas sejam feitas de qualquer local e sem colocar a segurança dos dados corporativos em risco.

4. Menores custos de gerenciamento de segurança 

A implementação da autenticação em dois fatores pode ajudar a reduzir as longas (e caras) chamadas do suporte para confirmar uma identidade ou redefinir uma senha. Desta forma, seus clientes podem resolver muito dos seus problemas de maneira intuitiva e sozinhos e, assim, diminuir os custos para este tipo de atendimento.

Dica: reduzir as interações do cliente com as centrais de atendimento não apenas fortalece a segurança das comunicações, mas também melhora a experiência do seu cliente!

5. Aumento da confiança dos seus clientes 

Ter medidas de segurança mais fortes no seu site ou app aumenta a confiança dos consumidores. E assim, eles têm mais chances de comprar ou de seguir sendo seu cliente por mais tempo. 

E se você acha que isso é um fator que pode ser subestimado: uma pesquisa conduzida pela IDC, a pedido da Infobip, mostrou que 68% dos brasileiros têm medo de comprar online por medo de se tornarem vítimas de fraude. Ou seja, aumentar a segurança e a sensação de confiança dos seus usuários pode trazer um retorno financeiro gigantesco para a sua empresa. 

Melhores práticas para implementar uma estratégia de 2FA

  • Combine métodos de autenticação: Usar diferentes métodos de autenticação (como SMS, biometria e push) em diferentes momentos da jornada pode ser uma excelente forma de balancear a experiência e a exigência de segurança. 
  • Sempre que possível, permita que seus usuários escolham o canal pelo qual querem fazer a autenticação: entender as preferências do usuário fará com que você tenha uma quebra muito menor em etapas de 2FA. Isso é válido especialmente para o envio de PIN (que podem ser por voz, push, SMS, e-mail), mas você também pode permitir que ele escolha entre biometria, PIN, token. 
  • Implemente bloqueios para solicitações sucessivas: tentativas sucessivas de autenticação podem sinalizar uma tentativa de fraude. Por isso, muitas empresas empregam um bloqueio de alguns minutos após 3 ou 5 solicitações de acesso e impedem o usuário de acessar o app ou site por 10 até 30 minutos. 
  • Possibilite o reenvio do código apenas após 30 segundos da última solicitação: envios de códigos sucessivos em um pequeno espaço de tempo podem causar confusões no processo de autenticação – além de ser custoso para a sua empresa. Por exemplo: o usuário digitar um código que já não é mais válido porque outro está a caminho. Uma sugestão é apenas permitir o reenvio do código PIN após 30 segundos da solicitação anterior – e após duas tentativas, permita a escolha de um canal alternativo. 
  • Incentive seus usuários a habilitarem a 2FA: bancos, apps de saúde e serviços governamentais normalmente exigem o uso de autenticação de dois fatores para o acesso. Mas outros setores podem temer fazer essa demanda e perder conversões. Para esses casos é muito importante que você faça campanhas de incentivo para que seu usuário habilite essa opção de segurança. Algumas empresas fazem campanhas de conscientização da importância do 2FA, já outras como o Mailchimp oferecem um desconto pelos primeiros 3 meses para quem habilita a funcionalidade. Outras opções são: o acesso a áreas ou funcionalidades específicas somente com a habilitação do 2FA e outras não, cupons de desconto, pontos no programa de fidelidade, entre outros. 

Indústrias que utilizam 2FA 

Instituições financeiras

É bastante comum e também crucial que as instituições financeiras (como bancos, fintechs e seguradoras) utilizem os serviços de 2FA para manter os dados de seus clientes seguros. Isso pode ser desde exigir um senha para acessar seu cartão bancário, até um PIN para aprovar transferências.

E-commerce

Os varejistas online costumam usar o 2FA durante o processo de login. Quando as informações do cartão de crédito podem ser salvas e armazenadas em suas contas, é essencial acrescentar uma outra camada de proteção para que seus clientes se sintam seguros ao comprar em seus sites.  

Saúde

As organizações de saúde são responsáveis por proteger os dados e informações dos pacientes – inclusive à luz da LGPD. Ao utilizar o 2FA, elas podem assegurar a seus pacientes que somente eles têm acesso aos seus registros médicos. A autenticação também é necessária para que os médicos tenham acesso aos prontuários dos pacientes de forma segura. 

Governo 

Especialmente durante a pandemia, os governos tiveram que fazer uma mudança no uso de plataformas online e baseadas em nuvem para que as pessoas pudessem acessar suas contas governamentais. Isto pode incluir qualquer coisa desde contas no Sistema Único de Saúde, benefícios sociais, pedidos de carteira de motorista e outros serviços governamentais. 

Proteja sua empresa e seus clientes com o 2FA 

Como a segurança cibernética é uma parte essencial para colocar os clientes em primeiro lugar, a 2FA oferece uma solução segura e fácil de usar que beneficia tanto as empresas quanto os consumidores. 

Os consumidores sabem que as violações de segurança são imprevisíveis – e às vezes estão fora do controle de uma empresa – mas as empresas que implementam o 2FA sinalizam aos consumidores que levam a segurança a sério. Isto é cada vez mais importante à medida que confiamos mais de nossas vidas digitais aos serviços on-line. 

Se você quer fazer uso dessas ferramentas, entre em contato com um de nossos especialistas. Estamos prontos para ajudá-lo!

Conteúdos relacionados que você pode se interessar: