Trace Id is missing
Pular para o conteúdo principal
Segurança da Microsoft

O que é autenticação?

Saiba como as identidades de pessoas, aplicativos e serviços são verificadas antes de receberem acesso a sistemas e recursos digitais.

Autenticação definida

Autenticação é o processo que as empresas usam para confirmar que apenas as pessoas, serviços e aplicativos certos com as permissões certas podem obter recursos organizacionais. É uma parte importante da segurança cibernética, pois a prioridade número um de um invasor é obter acesso não autorizado aos sistemas. Eles fazem isso roubando o nome de usuário e as senhas dos usuários que têm acesso. O processo de autenticação inclui três etapas principais:

  • Identificação: normalmente, os usuários estabelecem quem são por meio de um nome de usuário.
  • Autenticação: normalmente, os usuários provam que são quem dizem ser digitando uma senha (algo que apenas o usuário deve saber), mas para fortalecer a segurança, muitas organizações também exigem que provem sua identidade com algo que possuem (um telefone ou dispositivo de token) ou algum identificador físico (impressão digital ou leitura facial).
  • Autorização: o sistema verifica se os usuários têm permissão para o sistema que estão tentando acessar.

Por que a autenticação é importante?

A autenticação é importante porque ajuda as organizações a proteger seus sistemas, dados, redes, sites e aplicativos contra ataques. Ela também ajuda os indivíduos a manter seus dados pessoais confidenciais, capacitando-os a realizar negócios, como transações bancárias ou investimentos, online com menos riscos. Quando os processos de autenticação são fracos, é mais fácil para um invasor comprometer uma conta adivinhando senhas individuais ou enganando as pessoas para que entreguem suas credenciais. Isso pode levar aos seguintes riscos:

  • Violação ou exfiltração de dados.
  • Instalação de malware, como ransomware.
  • Não conformidade com os regulamentos de privacidade de dados regionais ou do setor.

Como funciona a autenticação

Para as pessoas, a autenticação envolve a configuração de um nome de usuário, senha e outros métodos de autenticação, como leitura facial, impressão digital ou PIN. Para proteger as identidades, nenhum desses métodos de autenticação é salvo no banco de dados do serviço. As senhas são colocadas em forma de hash (não criptografadas) e os hashes são salvos no banco de dados. Quando um usuário insere uma senha, a senha inserida também é colocada em forma de hash e, em seguida, os hashes são comparados. Se os dois hashes corresponderem, o acesso será concedido. Para impressões digitais e leituras faciais, as informações são codificadas, criptografadas e salvas no dispositivo.

Tipos de métodos de autenticação

Na autenticação moderna, o processo de autenticação é delegado a um sistema de identidade separado e confiável, em oposição à autenticação tradicional, em que cada sistema verifica sua própria identificação. Também houve uma mudança no tipo de métodos de autenticação usados. A maioria dos aplicativos requer um nome de usuário e senha, mas como os agentes mal-intencionados ficaram mais hábeis em roubar senhas, a comunidade de segurança desenvolveu vários novos métodos para ajudar a proteger as identidades.

Autenticação baseada em senha

A autenticação baseada em senha é a forma mais comum de autenticação. Muitos aplicativos e serviços exigem que as pessoas criem senhas que usam uma combinação de números, letras e símbolos para reduzir o risco de que um agente mal-intencionado as adivinhe. No entanto, as senhas também criam desafios de segurança e usabilidade. É difícil para as pessoas inventar e memorizar uma senha única para cada uma de suas contas online, e é por isso que muitas vezes elas reutilizam as senhas. E os invasores usam muitas táticas para adivinhar ou roubar senhas ou induzir as pessoas a compartilhá-las involuntariamente. Por esse motivo, as organizações estão substituindo as senhas por outras formas mais seguras de autenticação.

Autenticação baseada em certificado

A autenticação baseada em certificado é um método criptografado que permite que dispositivos e pessoas se identifiquem para outros dispositivos e sistemas. Dois exemplos comuns são um cartão inteligente ou quando o dispositivo de um funcionário envia um certificado digital para uma rede ou servidor.

Autenticação biométrica

Na autenticação biométrica, as pessoas verificam sua identidade usando recursos biológicos. Por exemplo, muitas pessoas usam o dedo ou o polegar para entrar em seus telefones, e alguns computadores escaneiam o rosto ou a retina de uma pessoa para verificar sua identidade. Os dados biométricos também estão vinculados a um dispositivo específico, portanto, os invasores não podem usá-los sem também obter acesso ao dispositivo. Esse tipo de autenticação é cada vez mais popular porque é fácil para as pessoas, elas não precisam memorizar nada, e é difícil para agentes mal-intencionados roubarem, tornando-o mais seguro do que senhas.

Autenticação baseada em token

Na autenticação baseada em token, um dispositivo e o sistema geram um novo número exclusivo chamado TOTP (PIN avulso por tempo limitado) a cada 30 segundos. Se os números coincidem, o sistema verifica que o usuário está com o dispositivo.

Senha avulsa

As OTP (senhas avulsas) são códigos gerados para um evento de credenciais específicas que expiram logo após serem emitidos. Elas são entregues por meio de mensagens SMS, email ou token de hardware.

Notificação por push

Alguns aplicativos e serviços usam notificações por push para autenticar usuários. Nesses casos, as pessoas recebem uma mensagem em seus telefones solicitando que aprovem ou neguem a solicitação de acesso. Como às vezes as pessoas aprovam notificações por push acidentalmente, mesmo que estejam tentando entrar nos serviços que enviaram a notificação, esse método às vezes é combinado com um método OTP. Com o OTP, o sistema gera um número único que o usuário deve inserir. Isso torna a autenticação mais resistente a phishing.

Autenticação por voz

Na autenticação por voz, a pessoa que tenta acessar um serviço recebe uma chamada telefônica, na qual é solicitada a inserir um código ou a identificar-se verbalmente.

Autenticação multifator

Uma das melhores maneiras de reduzir o comprometimento da conta é exigir dois ou mais métodos de autenticação, que podem incluir qualquer um dos métodos listados anteriormente. Uma melhor prática eficaz é exigir quaisquer dois dos seguintes itens:

  • Algo que o usuário sabe, geralmente uma senha.
  • Algo que o usuário possua, como um dispositivo confiável que não é facilmente duplicado, como um telefone ou um token de hardware.
  • Algum fator físico do usuário, como uma impressão digital ou uma leitura facial.

Por exemplo, muitas organizações solicitam uma senha (algo que o usuário sabe) e também enviam um OTP via SMS para um dispositivo confiável (algo que o usuário possui) antes de permitir o acesso.

Autenticação de dois fatores

A autenticação de dois fatores é um tipo de autenticação multifator que requer duas formas de autenticação.

Autenticação versus autorização

Embora a autenticação, às vezes chamada de AuthN, e a autorização, às vezes chamada de AuthZ, sejam frequentemente usadas de forma intercambiável, elas são duas coisas relacionadas, mas separadas. A autenticação confirma que o usuário que está acessando a conta é quem diz ser, enquanto a autorização confirma que ele tem as permissões corretas para acessar as informações que deseja. Por exemplo, alguém do departamento de recursos humanos pode ter acesso a sistemas confidenciais, como folha de pagamento ou arquivos de funcionários, que outras pessoas não podem ver. Tanto a autenticação quanto a autorização são essenciais para permitir a produtividade e proteger dados confidenciais, propriedade intelectual e privacidade.

Melhores práticas para segurança da autenticação

Como o comprometimento de contas é uma forma comum de invasores obterem acesso não autorizado aos recursos de uma empresa, é importante instituir segurança de autenticação forte. Aqui estão algumas coisas que você pode fazer para proteger sua organização:

  • Implementar a autenticação multifator

    A coisa mais importante que você pode fazer para reduzir o risco de comprometimento da conta é habilitar a autenticação multifator e exigir pelo menos dois fatores de autenticação. É muito mais difícil para os invasores roubar mais de um método de autenticação, especialmente se um deles for biométrico ou algo que o usuário possua, como um dispositivo. Para tornar tudo o mais simples possível para funcionários, clientes e parceiros, dê a eles uma escolha de vários fatores diferentes. Embora seja importante observar que nem todos os métodos de autenticação são iguais. Alguns são mais seguros do que outros. Por exemplo, receber um SMS é melhor do que nada, mas uma notificação por push é mais segura.

  • Adotar o método sem senha

    Depois de configurar a autenticação multifator, você pode até optar por limitar o uso de senhas e incentivar as pessoas a usar dois ou mais outros métodos de autenticação, como PIN e biometria. Reduzir o uso de senhas e ficar sem senha simplificará o processo de credenciais e reduzirá o risco de comprometimento da conta.

  • Aplicar proteção por senha

    Além da educação dos funcionários, há ferramentas que você pode usar para reduzir o uso de senhas fáceis de adivinhar. As soluções de proteção de senhas  permitem que você proíba as senhas comumente usadas, como a Password1. E você pode criar uma lista personalizada específica para sua empresa ou região, como nomes de times esportivos locais ou pontos de referência.

  • Habilitar autenticação multifator baseada em riscos

    Alguns eventos de autenticação são indicadores de comprometimento, como quando um funcionário tenta acessar sua rede a partir de um novo dispositivo ou localização estranha. Outros eventos de entrada podem não ser atípicos, mas são de maior risco, como quando um profissional de recursos humanos precisa acessar informações de identificação pessoal de um funcionário. Para reduzir seu risco, configure sua solução de  gerenciamento de identidade e acesso (IAM)  para exigir pelo menos dois fatores de autenticação quando detectar esses tipos de eventos.

  • Priorizar a usabilidade

    A segurança eficaz requer a adesão dos funcionários e outras partes interessadas. Às vezes, as políticas de segurança podem impedir que as pessoas se envolvam em atividades online arriscadas, mas se as políticas forem muito onerosas, as pessoas encontrarão uma solução alternativa. As melhores soluções acomodam o comportamento humano realista. Implante recursos como redefinição de senha self-service para eliminar a necessidade de as pessoas ligarem para o helpdesk quando esquecerem uma senha. Isso também pode incentivá-las a escolher uma senha forte, pois sabem que será fácil redefinir se a esquecerem mais tarde. Permitir que as pessoas escolham qual método de autorização preferem é outra boa maneira de facilitar o login.

  • Implantar o logon único

    Um ótimo recurso que aprimora a usabilidade e melhora a segurança é o logon único (SSO). Ninguém gosta de ser solicitado a fornecer uma senha sempre que troca de aplicativo e pode ser incentivado a usar a mesma senha em várias contas para economizar tempo. Com o logon único, os funcionários só precisam entrar uma vez para acessar a maioria ou todos os aplicativos necessários para o trabalho. Isso reduz o atrito, e permite que você aplique políticas de segurança universais ou condicionais, como autenticação multifator, a todos os softwares usados pelos funcionários.

  • Use o princípio de privilégio mínimo

    Limite o número de contas privilegiadas com base em funções e dê às pessoas o mínimo de privilégio necessário para realizar seus trabalhos. Estabelecer o controle de acesso ajuda a garantir que menos pessoas possam acessar seus dados e sistemas mais críticos. Quando alguém precisar executar uma tarefa confidencial, use o gerenciamento de acesso privilegiado, como ativação just-in-time com durações de tempo, para reduzir ainda mais o risco. Também ajuda exigir que as atividades administrativas sejam executadas apenas em dispositivos muito seguros, separados dos computadores que as pessoas usam para tarefas diárias.

  • Presumir uma violação e realizar auditorias regulares

    Em muitas organizações, as funções das pessoas e o status de emprego mudam regularmente. Os funcionários deixam a empresa ou mudam de departamento. Parceiros entram e saem dos projetos. Isso pode ser um problema quando as regras de acesso não acompanham o ritmo. É importante garantir que as pessoas não tenham acesso a sistemas e arquivos de que não precisam mais para o trabalho. Para reduzir o risco de um invasor obter informações confidenciais, use uma solução de governança de identidade para ajudar você a auditar as contas e funções de forma consistente. Essas ferramentas também ajudam a garantir que as pessoas tenham acesso apenas ao que precisam e que as contas das pessoas que deixaram a organização não estejam mais ativas.

  • Proteja as identidades contra ameaças

    Soluções de gerenciamento de identidade e acesso  oferecem muitas ferramentas para ajudar você a reduzir o risco de comprometimento de contas, no entanto, ainda é inteligente antecipar uma violação. Até mesmo funcionários bem instruídos às vezes caem em golpes de phishing. Para detectar o comprometimento da conta com antecedência, invista em soluções de proteção contra ameaças à identidade e implemente políticas que ajudem você a descobrir e combater atividades suspeitas. Muitas soluções modernas, como o Microsoft Copilot para Segurança, usam IA não apenas para detectar ameaças, mas também para responder automaticamente a elas.

Soluções de autenticação na nuvem

A autenticação é fundamental para um forte programa de segurança cibernética e para permitir a produtividade do trabalhador. Uma solução abrangente de gerenciamento de identidades e acesso baseada em nuvem, como o Microsoft Entra, fornece ferramentas para ajudar as pessoas a obter facilmente o que precisam para realizar seus trabalhos, ao mesmo tempo em que aplicam controles poderosos que reduzem o risco de invasores comprometerem uma conta e obterem acesso a dados confidenciais.

Saiba mais sobre a Segurança da Microsoft

Microsoft Entra ID

Proteja sua organização com gerenciamento de identidade e acesso (anteriormente conhecido como Azure Active Directory).

Microsoft Entra ID Governance

Garanta automaticamente que as pessoas certas tenham o acesso adequado aos aplicativos no momento ideal.

Gerenciamento de Permissões do Microsoft Entra

Obtenha uma solução unificada para gerenciar as permissões de qualquer identidade na sua infraestrutura de várias nuvens.

ID Verificada do Microsoft Entra

Descentralize suas identidades com um serviço gerenciado de credenciais verificáveis baseado em padrões abertos.

ID de carga de trabalho do Microsoft Entra

Gerencie e proteja os identificadores concedidos a aplicativos e serviços.

Perguntas frequentes

  • Há muitos tipos diferentes de autenticação. Alguns exemplos são:

    • Muitas pessoas entram em seus telefones usando reconhecimento facial ou impressão digital. 
    • Bancos e outros serviços geralmente exigem que as pessoas entrem usando uma senha e um código que é enviado automaticamente por SMS. 
    • Algumas contas exigem apenas um nome de usuário e uma senha, embora muitas organizações estejam adotando a autenticação multifator para aumentar a segurança.
    • Os funcionários geralmente entram em seus computadores e obtêm acesso a vários aplicativos diferentes ao mesmo tempo, o que é conhecido como logon único.
    • Também há contas que permitem aos usuários entrar usando uma conta do Facebook ou do Google. Nesse caso, o Facebook, o Google ou a Microsoft são responsáveis por autenticar o usuário e passar a autorização para o serviço que o usuário deseja acessar.
  • A autenticação na nuvem é um serviço que confirma que apenas as pessoas e aplicativos certos com as permissões certas podem obter acesso a redes e recursos na nuvem. Muitos aplicativos de nuvem têm autenticação interna baseada em nuvem, mas também existem soluções mais amplas, como o Azure Active Directory, projetadas para lidar com a autenticação em vários aplicativos e serviços de nuvem. Essas soluções geralmente usam o protocolo SAML para permitir que um serviço de autenticação funcione em várias contas.

  • Embora a autenticação e a autorização sejam frequentemente usadas de forma intercambiável, elas são duas coisas relacionadas, mas separadas. A autenticação confirma que o usuário que está acessando a conta é quem diz ser, enquanto a autorização confirma que ele tem as permissões corretas para acessar as informações que deseja. Usadas juntas, a autenticação e a autorização ajudam a reduzir o risco de um invasor obter acesso a dados confidenciais.

  • A autenticação é usada para verificar se as pessoas e entidades são quem dizem ser antes de fornecer acesso a recursos e redes digitais. Embora o objetivo principal seja a segurança, as soluções de autenticação modernas também são projetadas para melhorar a usabilidade. Por exemplo, muitas organizações implementam soluções de logon único a fim de simplificar a busca dos funcionários pelo o que precisam para realizar seus trabalhos. Os serviços ao consumidor geralmente permitem que as pessoas entrem usando as contas do Facebook, Google ou Microsoft para acelerar o processo de autenticação.

Siga a Segurança da Microsoft