Autenticação MFA

A autenticação é o processo de identificação de uma pessoa real como utilizador do sistema. Para a pessoa, este processo consiste geralmente em introduzir o seu nome de utilizador e Palavra-passe no ecrã de início de sessão. A aplicação suporta vários tipos de autenticação.

Para uma experiência mais segura, é possível ativar a autenticação em dois passos (2FA).

Como funciona?

A autenticação em dois passos é um método de segurança de administração de identidade e acesso que requer duas formas de identificação. Combina dois esquemas:

• A palavra-passe corresponde ao esquema Sei algo.
• O PIN temporário a Tenho algo (telemóvel ou área de trabalho). Na verdade, trata-se de uma fórmula híbrida, porque requer a posse de um objeto (o telefone ou a área de trabalho) e o conhecimento de uma chave temporária (o PIN temporário).

Adicionalmente:

• Para utilizar a autenticação em dois passos, é necessário instalar uma aplicação (Autenticador 2FA) no telemóvel e configurar a conta a proteger.
• Pode ser feito manualmente, embora a forma mais comum seja ler um código QR que inclui todas as informações da conta e a respetiva configuração, o token QR.
• O token QR inclui uma chave secreta que a aplicação utiliza para gerar códigos numéricos que mudam periodicamente, por exemplo, a cada 30 segundos.

O início de sessão

Durante o início de sessão com autenticação 2FA ocorrem dois passos:

O primeiro passo com a autenticação:

• O utilizador introduz a sua palavra-passe.
• O servidor verifica a palavra-passe e, se estiver correta, o utilizador é qualificado para o segundo passo.

No segundo caso, são possíveis duas situações.

• O utilizador não tem o número secreto (chave OTP).
• O utilizador já possui o número secreto (chave OTP).

Se o utilizador não tiver o número secreto

• O servidor
  • Gera um token QR que contém um número secreto e outros dados internos.
  • A aplicação apresenta o QR e uma Caixa de texto para a introdução de um PIN temporário.
• O utilizador
  • Lê o código QR com uma aplicação (Autenticador 2FA, por exemplo FreeOTP+) e adiciona-o à sua lista de chaves OTP.
  • Com a sua aplicação (chave OTP), gera o PIN temporário.
  • Indica o PIN temporário antes de decorrido o tempo acordado; a duração do PIN temporário; por exemplo, 30s.
• O servidor
  • Verifica o PIN temporário e, se estiver correto, o utilizador está qualificado para iniciar sessão.
  • Guarda o número secreto na tabela do utilizador. O número secreto está agora disponível para o utilizador.

O utilizador já tem o número secreto

• O servidor
  • A aplicação apresenta uma caixa de texto para a entrada de um PIN temporário.
• O utilizador
  • Com a sua aplicação (chave OTP), gera o PIN temporário.
  • Indica o PIN temporário antes de decorrido o tempo acordado; a duração do PIN temporário; por exemplo, 30s.
• O servidor
  • Verifica o PIN temporário e, se estiver correto, o utilizador está qualificado para iniciar sessão.

A aplicação do tipo autenticador 2FA

O utilizador necessita de uma aplicação do tipo autenticador 2FA; esta é conhecida como aplicação. Há uma grande variedade de aplicações deste tipo, como aplicações móveis, embora também possam ser aplicações para a área de trabalho, por exemplo:

• Google Authenticator (Google LLC) gera códigos de verificação em dois passos no telemóvel. A verificação em dois passos reforça a segurança da conta, ao exigir um segundo passo de verificação ao iniciar a sessão. Além da palavra-passe, deve ser fornecido um código que a aplicação Google Authenticator gera no telefone.
• 2fast | Autenticador de dois fatores. O 2fast (um acrónimo de "two fator authenticator supporting TOTP") é um autenticador de dois fatores gratuito e de código aberto para Windows, com a capacidade para armazenar dados sensíveis encriptados na localização da sua escolha, em vez de numa localização na nuvem de terceiros.