A autenticação multifator (MFA) rapidamente se tornou o padrão para proteger contas comerciais. Antes uma medida de segurança de nicho, a adoção está aumentando em todos os setores. Mas, embora seja inegavelmente eficaz em manter os maus atores afastados, a implementação de soluções MFA pode ser uma confusão emaranhada de designs e ideias concorrentes. Para empresas e funcionários, a realidade é que a MFA às vezes parece algo bom demais.

Aqui estão alguns motivos pelos quais o MFA não é implementado de forma mais universal.

1. As empresas veem o MFA como um centro de custos

O MFA para empresas não é gratuito, e os custos do MFA podem aumentar com o tempo. Soluções de MFA de terceiros vêm com custos de assinatura, normalmente cobrados por usuário. Até mesmo opções integradas, como os recursos de MFA do Microsoft 365, podem custar mais, dependendo da sua licença do Microsoft Entra.

Além disso, há o custo de treinar funcionários para usar o MFA e o tempo que a TI leva para registrá-los. Se o MFA aumenta as chamadas para o help desk, os custos de suporte também aumentam. Embora essas despesas sejam muito menores do que o custo de uma violação de segurança ( US$ 4,88 milhões no ano passado), as empresas nem sempre veem essa conexão claramente.

2. A experiência do usuário é um ponto problemático persistente

Não importa como você o divida, o MFA também traz etapas extras. Após inserir uma senha, os usuários devem concluir outra etapa de verificação. Isso inevitavelmente adiciona atrito. Os administradores precisam considerar a forma de MFA usada, com que frequência é necessária e equilibrar ambos com o risco.

Combinar MFA com SSO pode aliviar o fardo da segurança ao permitir que os usuários se autentiquem uma vez para acessar vários aplicativos, em vez de fazer login separadamente em cada um. Isso reduz o atrito para seus usuários, para que o MFA não atrapalhe o trabalho. Além do SSO, mantenha os usuários finais felizes optando por uma plataforma MFA com configurações de política flexíveis. Por exemplo, o acesso interno à estação de trabalho provavelmente não precisa de MFA com tanta frequência quanto o acesso remoto via VPN, RDP ou outras conexões externas.

3. A implementação do MFA traz armadilhas ocultas

Implantar MFA e treinar usuários não é uma tarefa pequena. O primeiro passo é criar e gerenciar um sistema que mantenha as coisas simples — desde o registro do usuário até o monitoramento da atividade de MFA.

Escolha um MFA que funcione bem com a configuração de identidade atual da sua organização. Proteger o acesso a uma mistura de Active Directory (AD) local e infraestrutura de nuvem pode significar gerenciar várias identidades por usuário, criando sobrecarga de gerenciamento e criando uma lacuna de segurança de identidade híbrida.

Escalabilidade também é um fator: conforme a base de usuários cresce, o sistema consegue acompanhar? Se você está contando com um serviço MFA de terceiros, o que acontece se ele cair?

Depois, há a questão da conectividade. Muitas soluções de MFA pressupõem que os usuários estão sempre online. Mas e se eles estiverem offline ou em uma rede isolada com conectividade limitada? Considere como e onde seus usuários fazem login e avalie se seu MFA deve suportar prompts locais para autenticar usuários, mesmo quando seus dispositivos não estiverem conectados à internet.

4. O MFA por si só não é suficiente

Claro, o MFA aumenta a segurança, mas nenhum método de MFA é infalível. Cada abordagem tem suas próprias fraquezas que os invasores podem explorar. Por exemplo, o MFA baseado em SMS (não mais recomendado) é vulnerável a ataques de troca de SIM, enquanto as notificações push podem ser vítimas da fadiga do MFA, onde os usuários são bombardeados com solicitações de login repetidas por invasores que já comprometeram suas senhas.

Atacantes mais avançados têm ferramentas para roubar cookies de sessão, permitindo que eles ignorem o MFA completamente em algumas situações. O SSO, embora conveniente, pode agravar o problema — se um invasor romper uma barreira do MFA, ele pode obter acesso a vários aplicativos.

O MFA não precisa ser tão difícil

A conclusão é que o MFA precisa fazer parte de uma estratégia mais ampla que inclua monitoramento e registro para dar aos administradores visibilidade sobre as atividades de autenticação. Embora o MFA seja uma camada crucial na defesa contra acesso não autorizado, a implantação trará desafios. Planeje para eles. Para uma implementação bem-sucedida do MFA, entenda os custos, considere a experiência do usuário e adote uma abordagem proativa para mitigar suas limitações.