Autenticação Multifator (MFA)

Senha é um segredo compartilhado entre você e o sistema. O problema é que segredos vazam — por phishing, por reutilização de senhas entre serviços, por banco de dados comprometido, por funcionário que anota a senha num post-it. Quando a senha vaza, qualquer pessoa que a tenha se torna, para o sistema, indistinguível do usuário legítimo.

Autenticação Multifator (MFA) parte de uma premissa simples: se a senha vazar, ainda há um segundo obstáculo. MFA exige mais de um fator para provar que quem está tentando acessar é quem diz ser. O segundo fator pode ser um código enviado ao celular, um aplicativo autenticador que gera códigos temporários, biometria ou uma chave física. A combinação de algo que você sabe (senha) com algo que você tem (dispositivo) ou algo que você é (biometria) torna o acesso não autorizado muito mais difícil — mesmo com a senha comprometida.

É um dos controles de segurança com melhor custo-benefício disponível. Implementação simples, custo praticamente zero, e capaz de bloquear a grande maioria dos ataques baseados em credenciais comprometidas.

O ciclo de vida de uma senha comprometida é bem documentado. Uma violação de dados num serviço qualquer — loja online, rede social, app de delivery — expõe listas de e-mails e senhas. Essas listas são vendidas e testadas automaticamente em outros serviços. A prática é chamada de credential stuffing — testar credenciais roubadas em múltiplos sistemas na esperança de que o usuário reutilizou a mesma senha.

A taxa de sucesso não precisa ser alta. Com listas de milhões de credenciais, mesmo 0,1% de sucesso representa milhares de contas comprometidas. E a reutilização de senhas é endêmica — estudos consistentemente mostram que a maioria dos usuários reutiliza senhas entre contas pessoais e corporativas.

Phishing adiciona outra camada ao problema. Um e-mail convincente que imita um sistema interno, um banco ou um serviço de e-mail leva usuários a digitar suas credenciais numa página falsa. A senha chega diretamente ao atacante, sem precisar de violação num banco de dados.

MFA não torna essas ameaças impossíveis, mas eleva o custo do ataque de forma que a maioria dos atacantes oportunistas desiste e busca um alvo mais fácil.

SMS: código enviado por mensagem de texto ao celular do usuário. É o segundo fator mais comum e mais fácil de implementar. Também é o menos seguro — ataques de SIM swapping (troca fraudulenta do chip junto à operadora) podem redirecionar mensagens SMS. Para a maioria dos contextos corporativos é aceitável; para sistemas de alta criticidade, alternativas mais robustas são recomendadas.

Aplicativo autenticador (TOTP): aplicativo como Google Authenticator, Microsoft Authenticator ou Authy gera um código numérico que muda a cada 30 segundos. O código é calculado localmente no dispositivo — não depende de rede. É mais seguro que SMS porque não pode ser interceptado por SIM swapping. Padrão recomendado para a maioria dos contextos empresariais.

Chave física (hardware token): dispositivo físico como YubiKey que precisa ser conectado ou aproximado do computador durante o login. Virtualmente impossível de comprometer remotamente. Padrão para contas de alta criticidade — acesso administrativo a infraestrutura, contas financeiras de alto valor.

Biometria: impressão digital, reconhecimento facial ou de íris. Conveniente para usuários, difícil de replicar remotamente. Comum em dispositivos móveis como segundo fator. A questão crítica é onde os dados biométricos são armazenados e processados.

Push notification: o sistema envia uma notificação ao celular do usuário solicitando aprovação do login. Simples de usar — o usuário apenas toca "Aprovar". Vulnerável a ataques de fadiga MFA — atacantes enviam múltiplas solicitações de aprovação repetidamente até o usuário aprovar por engano ou cansaço.

A evolução natural de MFA é eliminar a senha completamente. Autenticação sem senha usa apenas fatores que não podem ser roubados remotamente — chave criptográfica no dispositivo, biometria ou chave física.

O padrão FIDO2/WebAuthn define como autenticação sem senha funciona tecnicamente. O usuário prova quem é com a chave privada armazenada no dispositivo (desbloqueada por biometria ou PIN local) — sem transmitir segredo algum para o servidor. Nada para vazar, nada para phishing capturar.

Passkeys — implementadas por Apple, Google e Microsoft — são a implementação de FIDO2 mais acessível ao usuário comum. O celular ou computador armazena a chave criptográfica; a biometria do dispositivo a desbloqueia. Para o usuário, o processo é mais simples que digitar senha; para o sistema, é significativamente mais seguro.

Para empresas, a adoção de passwordless ainda é gradual — sistemas legados frequentemente não suportam o padrão. A transição mais realista é MFA robusto no curto prazo, com passkeys como destino de médio prazo para sistemas modernos.

O maior obstáculo para adoção de MFA em empresas não é técnico — é comportamental. Usuários percebem MFA como fricção, e sem mandato claro da liderança, a adoção fica incompleta.

As práticas que funcionam:

Mandato com prazo: definir uma data a partir da qual MFA é obrigatório para todos os sistemas críticos. Não opcional, não "recomendado".

Começar pelos sistemas de maior risco: e-mail corporativo (frequentemente usado para reset de senhas de outros sistemas), VPN, sistemas financeiros e qualquer sistema com dados sensíveis de clientes. Esses são os alvos mais valiosos e onde MFA tem maior impacto.

Escolher o segundo fator pelo contexto: para a maioria dos colaboradores, aplicativo autenticador é o equilíbrio certo entre segurança e usabilidade. Para acesso administrativo a infraestrutura, chave física. Para sistemas que precisam funcionar sem smartphone (chão de fábrica, por exemplo), considerar outras opções.

Gerenciar recuperação de acesso: o maior risco operacional de MFA é o bloqueio — usuário sem acesso ao segundo fator. Definir processo claro de recuperação que não comprometa a segurança do controle.

MFA é provavelmente o controle de segurança com melhor relação entre custo de implementação e risco mitigado disponível hoje. O custo é quase zero — a maioria dos sistemas já oferece suporte nativo. A fricção para o usuário é pequena e pode ser reduzida com a escolha certa de segundo fator. O risco mitigado é substancial — credenciais comprometidas são o vetor de ataque mais comum em incidentes corporativos.

Para PMEs, a sequência prática é: habilitar MFA no e-mail corporativo primeiro (Google Workspace e Microsoft 365 suportam nativamente, com configuração de menos de uma hora), depois nos sistemas financeiros, depois em qualquer sistema com acesso externo. Essa sequência cobre os vetores de maior risco com esforço mínimo.

A liderança tem papel direto aqui — não em implementar, mas em tornar obrigatório. Controles opcionais são adotados pelos que já se preocupam com segurança e ignorados pelos demais. Para MFA funcionar, precisa ser mandato, não sugestão.