Guia Cibersegurança

MFA: por que uma etapa extra evita a maioria das violações

A telemetria do Microsoft em bilhões de contas mostra que o MFA bloqueia mais de 99% dos ataques automatizados de credenciais. A maioria das PME sabe que precisa disso. Poucos o implementaram de forma suficientemente ampla, ou nos sistemas certos, ou com o método certo.

30 de maio de 2026
6 minutos de leitura
Principais conclusões
  • O MFA bloqueia mais de 99% dos ataques automatizados de credenciais, de acordo com a análise de telemetria de identidade do Microsoft
  • As chaves de hardware (FIDO2/YubiKey) fornecem a mais alta segurança; SMS é o método MFA mais fraco e vulnerável à troca de SIM
  • Comece com e-mail e acesso remoto, depois passe para sistemas financeiros e tudo mais
  • MFA somente SMS, lacunas na cobertura do usuário e desvio de autenticação legado são as três falhas de implantação mais comuns
  • O ISO 27001 Anexo A.8.5 e o Cyber Essentials exigem o MFA em serviços em nuvem e acesso remoto, no mínimo

Por que as senhas por si só continuam falhando

Uma senha é um único segredo. No momento em que esse segredo sai do seu controle, sua conta está aberta. As senhas saem do seu controle por meio de canais nos quais você não tem visibilidade.

Preenchimento de credenciais é o vetor de ataque mais comum contra contas empresariais. Os invasores compram bancos de dados de combinações de e-mail e senha vazadas de sites violados e, em seguida, executam ferramentas automatizadas que testam essas credenciais no Microsoft 365, Google Workspace, gateways VPN e portais bancários. O ataque funciona porque as pessoas reutilizam senhas. Uma credencial vazada em uma violação de varejo há cinco anos ainda abre contas hoje, porque a senha nunca mudou. HaveIBeenPwned indexa atualmente mais de 13 bilhões de contas violadas.

Phishing entrega credenciais diretamente aos invasores. Uma página de login convincente para o Microsoft 365 ou para o portal VPN da sua empresa leva menos de uma hora para ser criada e distribuída. O usuário digita seu nome de usuário e senha no que parece ser um formulário legítimo. Os invasores capturam as credenciais em tempo real. Nenhuma vulnerabilidade técnica necessária.

Pulverização de senha adota a abordagem oposta ao recheio. Em vez de tentar muitas senhas em uma conta, os invasores tentam uma ou duas senhas comuns em milhares de contas. Escolhas comuns como Summer2024! ou Welcome1 têm sucesso em escala porque as políticas de senha que exigem uma letra maiúscula e um número produzem padrões previsíveis, e os limites de bloqueio param de bloquear após uma pulverização lenta.

Todos os três ataques falham contra uma conta com MFA. Uma senha roubada sem o segundo fator não contribui em nada para ataques automatizados. A telemetria de identidade do Microsoft coloca a taxa de bloqueio em 99,9%.

99%+
de ataques automatizados de credenciais bloqueados pelo MFA, por telemetria de identidade Microsoft
13B+
credenciais violadas indexadas por HaveIBeenPwned, disponíveis para ataques de preenchimento
81%
das violações relacionadas a hackers envolvem senhas roubadas ou fracas (Verizon DBIR)

O que é MFA e como funciona

A autenticação multifator exige que o usuário apresente dois ou mais fatores de verificação de categorias distintas antes de obter acesso. As três categorias são:

  • Algo que você sabe: uma senha, PIN ou resposta à pergunta de segurança
  • Algo que você tem: um dispositivo físico, como um telefone executando um aplicativo autenticador, uma chave de segurança de hardware ou um cartão inteligente
  • Algo que você é: um fator biométrico, como impressão digital ou digitalização facial

A autenticação de dois fatores (2FA) usa exatamente dois deles. MFA é o termo mais amplo que abrange dois ou mais. Na prática, a maioria das pessoas usa os termos de forma intercambiável e a maioria das implantações combina uma senha com um segundo fator baseado no dispositivo.

Um invasor que rouba sua senha não tem seu telefone. Um invasor que encontra seu telefone não sabe sua senha. Comprometer ambos, contra um alvo específico, no momento de uma tentativa de login, é muito mais difícil do que roubar uma senha de um banco de dados violado e executá-la por meio de uma ferramenta automatizada.

Tipos MFA classificados por segurança

Os métodos MFA variam amplamente em segurança. A tabela os classifica do mais forte ao mais fraco, de acordo com a resistência ao phishing e à interceptação em tempo real.

#
Método
Força
1
Chave de segurança de hardware (FIDO2/WebAuthn)
Série Yubikey 5, chave Titan Google. Prova criptográfica vinculada ao URL exato do domínio. Resistente a phishing por design.
Mais forte
2
Aplicativo autenticador (TOTP)
Autenticador Microsoft, Autenticador Google, Authy. Código de 6 dígitos atualizado a cada 30 segundos. Funciona off-line. Phishable em tempo real, mas bloqueia todos os ataques automatizados.
Forte
3
Notificação push
Push do autenticador Microsoft, Duo Security. O usuário aprova uma solicitação de login no telefone. Vulnerável a ataques de fadiga do MFA (spam push repetido até que o usuário aprove).
Moderado
4
Código único SMS
Código entregue por mensagem de texto. Vulnerável à troca de SIM e interceptação SS7. Melhor que nada; não aceitável para contas de alto valor.
Mais fraco

As chaves de hardware FIDO2 derrotam o phishing porque a assinatura criptográfica que produzem está matematicamente vinculada ao URL do site legítimo. Um site de phishing em um domínio diferente não pode produzir uma resposta de autenticação válida, mesmo que o usuário digite sua senha nele. Os códigos TOTP são passíveis de phishing em tempo real: um proxy man-in-the-middle pode capturar a senha e o código TOTP e reproduzi-los antes que a janela de 30 segundos feche.

Notificação push O MFA tem um ponto fraco específico chamado fadiga do MFA. Os invasores que possuem uma senha válida enviam solicitações push repetidas às 2h da manhã, até que um usuário cansado ou confuso toque em "Aprovar" para interromper as notificações. O Autenticador Microsoft agora suporta correspondência de números, o que exige que o usuário insira um número de dois dígitos exibido no login na tela de notificação push, evitando aprovações acidentais. Habilite a correspondência de números em suas políticas de acesso condicional do Entra ID.

Não confie em SMS para contas empresariais

Os ataques de troca de SIM contra contas empresariais aumentaram entre 2023 e 2025. Um invasor liga para sua operadora de celular, afirma ser você e transfere seu número para um SIM que ele controla. Todos os códigos SMS são encaminhados para eles. O processo de verificação da operadora não é robusto. Mova contas essenciais aos negócios para TOTP ou chaves de hardware e desative o SMS como opção substituta para essas contas.

Por onde começar: uma sequência de implantação

A meta é 100% de cobertura do MFA em todos os usuários e em todos os sistemas. Comece onde um compromisso causa mais danos.

1. Envie um e-mail primeiro

O e-mail comercial é a chave mestra para quase todo o resto. As redefinições de senha de todas as outras contas vão para o e-mail. Dados comerciais confidenciais fluem por e-mail. Os invasores que comprometerem uma conta Microsoft 365 ou Google Workspace podem ler e-mails, redirecionar instruções de pagamento e acessar todos os aplicativos conectados. Habilite o MFA no e-mail antes de mais nada, para todos os usuários, sem exceção.

No Microsoft 365, o caminho mais rápido são os padrões de segurança no portal Entra ID. Os padrões de segurança impõem o MFA para todos os usuários, bloqueiam protocolos de autenticação legados e exigem o MFA para todas as ações administrativas. É uma única alternância. Para organizações que precisam de controle mais granular, as políticas de acesso condicional permitem definir quais usuários, aplicativos, locais e estados de dispositivos acionam um desafio MFA.

2. VPN e acesso remoto

Gateways VPN e serviços de desktop remoto são o outro ponto de entrada principal para invasores. Uma credencial VPN comprometida coloca um invasor dentro do perímetro da sua rede com o mesmo acesso que um funcionário legítimo. Todas as soluções de acesso remoto, seja Cisco AnyConnect, Fortinet FortiClient, Palo Alto GlobalProtect ou Windows Remote Desktop Gateway, suportam MFA baseado em RADIUS ou integração direta com provedores de identidade como Entra ID. Configure-o antes de expandir ainda mais o acesso remoto.

3. Sistemas financeiros e de pagamento

Bancos on-line, plataformas de pagamento e softwares de contabilidade como Exact, Twinfield ou Xero contêm os dados que os invasores visam em ataques de comprometimento de e-mail comercial. Muitas dessas plataformas suportam TOTP ou MFA baseado em aplicativo em suas configurações de segurança. Habilite-o para todos os usuários que podem iniciar ou aprovar pagamentos. Alguns bancos exigem o MFA para contas empresariais; trate aqueles que não o fazem como exceções que exigem uma discussão separada sobre riscos.

4. Todo o resto

Assim que as três categorias de maior risco tiverem o MFA, estenda a cobertura a todos os serviços em nuvem restantes: plataformas de CRM, sistemas de RH, armazenamento de arquivos, ambientes de desenvolvimento, consoles de gerenciamento de DNS e contas de registradores de domínio. As contas de registrador são de alto valor e raramente recebem MFA. Um invasor que comprometa sua conta de registrador de domínio pode redirecionar todo o DNS do seu domínio.

Vitória rápida: acesso condicional por localização

Se a implementação completa do MFA enfrentar resistência interna, comece com políticas de acesso condicional que exigem o MFA para logins de fora da rede do seu escritório. Isso não impõe nenhum atrito aos funcionários em suas mesas, ao mesmo tempo que protege o acesso remoto e móvel. Não é uma solução completa, uma vez que é possível comprometer a rede do escritório, mas elimina o vetor de ataque mais comum com custo zero para o usuário final durante o período de transição.

Erros comuns de implantação

Uma implantação do MFA com lacunas ainda dá aos invasores um caminho para entrar. Esses são os quatro erros que criam os maiores.

MFA somente SMS em contas de alto valor

Algumas organizações habilitam o MFA e depois aceitam o SMS como a única opção de fator porque não requer instalação de aplicativo. Para contas de usuário padrão, isso é uma compensação. Para executivos, pessoal financeiro, administradores de TI e qualquer pessoa com acesso a dados confidenciais, trata-se de um risco inaceitável. Segmente seus requisitos do MFA: exija TOTP ou FIDO2 para usuários privilegiados e de alto risco, aceite TOTP ou push como mínimo para usuários padrão e bloqueie SMS para contas que detêm poder real.

Não cobrindo todos os usuários

As políticas do MFA que excluem contas de prestadores de serviços, contas de serviços compartilhados ou usuários "temporários" criam pontos de entrada. Os invasores procuram contas fora do escopo da política principal. No Entra ID, verifique se há exclusões nas suas políticas de acesso condicional e audite-as trimestralmente. Cada conta excluída deve ter uma justificativa comercial documentada e com prazo limitado.

Permitindo protocolos de autenticação legados

Protocolos de autenticação legados, incluindo autenticação básica para Exchange ActiveSync, IMAP, POP3 e autenticação SMTP, não são compatíveis com MFA. Eles enviam credenciais como nome de usuário e senha sem nenhum mecanismo para um segundo fator. Se você ativar o MFA, mas deixar esses protocolos ativos, um invasor com uma senha roubada poderá ignorar o MFA conectando-se via IMAP. No Microsoft 365, bloqueie a autenticação legada usando uma política de acesso condicional com a condição definida como "Outros clientes" e a concessão definida como "Bloquear acesso". Verifique os logs de login do Entra ID para atividades de autenticação herdada antes de bloquear para identificar dispositivos ou aplicativos que precisam de reconfiguração.

Sem códigos de backup ou plano de recuperação

Os usuários que perdem o telefone ou a chave de hardware e não têm caminho de recuperação enfrentam uma chamada de suporte que pode levar horas para ser resolvida e pressionam a equipe de TI para contornar os controles. Gere códigos de backup para cada conta crítica, armazene-os em um gerenciador de senhas ou documento impresso em um local seguro e configure métodos de autenticação alternativos na redefinição de senha de autoatendimento do Entra ID para que os usuários tenham um caminho de recuperação documentado.

Microsoft 365 e Entra ID: orientação específica

A maioria dos clientes Cyvra executa o Microsoft 365. As configurações abaixo abordam os principais riscos.

Padrões de segurança. No portal Azure, abra Entra ID (anteriormente Azure Active Directory), Propriedades e Gerenciar padrões de segurança. A ativação dos padrões de segurança impõe o registro do MFA para todos os usuários, requer o MFA para todas as operações administrativas e bloqueia protocolos de autenticação legados. É o caminho mais rápido para a proteção básica e é gratuito em todas as licenças do Microsoft 365.

Acesso Condicional (requer Entra ID P1 ou Microsoft 365 Business Premium). O acesso condicional oferece controle granular sobre quando e como o MFA é necessário. Principais políticas a serem criadas: exigem MFA para todos os usuários que acessam qualquer aplicativo em nuvem; exigir MFA de todos os locais (incluindo redes confiáveis) para administradores; bloquear clientes de autenticação legados; e exigem um dispositivo compatível ou associado ao Entra ID para acesso a dados confidenciais. O painel Microsoft Secure Score no portal Microsoft 365 Defender mostra quais dessas políticas estão em vigor e avalia seu impacto.

Correspondência de números para notificações push. Em Entra ID, vá para Segurança, Métodos de Autenticação e Autenticador Microsoft. Ative a correspondência de números para evitar ataques de fadiga do MFA. O Microsoft habilitou isso por padrão em novos locatários desde 2023, mas verifique se está ativo em seu locatário.

Política de métodos de autenticação. Em Segurança, depois em Métodos de Autenticação, revise quais métodos cada grupo de usuários pode registrar. Restrinja o SMS aos grupos de usuários onde você revisou e aceitou a compensação. Exija tokens FIDO2 ou OATH de software para administradores globais e funções de identidade privilegiadas.

Gerenciamento de identidade privilegiada (PIM). Disponível com Entra ID P2 ou Microsoft 365 E3/E5, o PIM impõe acesso privilegiado just-in-time. Os administradores não possuem direitos de administrador globais permanentes; eles solicitam elevação por um período definido, o que aciona um desafio MFA e cria um log de auditoria. Isso limita o raio de explosão de uma conta de administrador comprometida à janela de elevação ativa.

MFA converte uma senha roubada de uma violação em um beco sem saída. Um invasor com suas credenciais, mas não com seu dispositivo, não ganha nada.

MFA e estruturas de conformidade

MFA aparece pelo nome ou implicação direta em todas as principais estruturas de segurança relevantes para PMEs.

ISO 27001:2022, Anexo A.8.5 (Autenticação Segura) afirma que os controles de autenticação devem refletir a classificação da informação do que está sendo acessado e, especificamente, apela à autenticação multifatorial como medida de controle para acesso remoto e para acesso a sistemas sensíveis. A.8.2 (Direitos de acesso privilegiado) exige que as contas privilegiadas operem sob controles mais rígidos do que os usuários padrão, o que na prática a comunidade de auditores interpreta como exigindo MFA no mínimo para todas as contas de administrador.

Cyber Essentials (Reino Unido). A atualização de janeiro de 2022 para Cyber Essentials requer MFA em todos os serviços em nuvem com suporte técnico e em todas as soluções de acesso remoto. A avaliação Cyber Essentials Plus inclui uma auditoria técnica da configuração de autenticação. A descoberta da falta do MFA em um serviço de nuvem ou VPN é uma falha direta nos requisitos de controle de acesso do esquema.

NIS2 (UE, Artigo 21). Embora o NIS2 não prescreva controles específicos, o Artigo 21 exige que entidades essenciais e importantes implementem “autenticação multifatorial ou soluções de autenticação contínua” como parte de sua higiene básica de segurança. NIS2 nomeia MFA diretamente, um dos poucos controles especificados pelo regulamento. Entidades holandesas no escopo do NIS2 e supervisionadas pelo NCSC-NL ou reguladores do setor enfrentam fiscalização onde o MFA está ausente em sistemas voltados para a Internet.

GDPR. O GDPR não obriga o MFA nominalmente, mas o Considerando 83 e o Artigo 32 exigem “medidas técnicas e organizacionais apropriadas” para proteger os dados pessoais. As Autoridades de Proteção de Dados na Holanda (AP) e no Reino Unido (ICO) citaram a ausência do MFA como um fator contribuinte nas ações de fiscalização de violações. Após uma violação, a ausência do MFA na conta comprometida torna mais difícil argumentar que você tomou as medidas técnicas apropriadas.

Dica de evidência ISO 27001

Durante uma auditoria ISO 27001, a exportação da política de acesso condicional do Entra ID e os logs de login são evidência direta de A.8.5. Exporte as definições de política como JSON e mantenha-as com a documentação da Declaração de Aplicabilidade. Os registros de login que mostram os desafios e sucessos do MFA demonstram que o controle está operando, e não apenas configurado.

Perguntas frequentes

Vale a pena usar o MFA baseado em SMS?

O SMS MFA é muito mais forte do que nenhum MFA. Os dados do Microsoft mostram que ele ainda bloqueia a grande maioria dos ataques automatizados que usam credenciais roubadas. O problema é que o SMS é vulnerável a ataques de troca de SIM, onde um invasor convence uma operadora móvel a transferir seu número para um SIM que ela controla, e à interceptação SS7 em redes de telecomunicações. Para contas de baixo risco sem opção melhor disponível, o SMS MFA é aceitável. Para e-mail, VPN, sistemas financeiros ou qualquer conta de administrador, use um aplicativo autenticador ou chave de hardware. O objetivo é afastar os usuários do SMS ao longo do tempo, e não deixar as contas desprotegidas enquanto você espera pela solução perfeita.

Qual é a diferença entre TOTP e FIDO2?

TOTP (senha única baseada em tempo) gera um código de seis dígitos em um aplicativo autenticador a cada 30 segundos, com base em um segredo compartilhado e na hora atual. Funciona offline e é compatível com quase todas as plataformas. O ponto fraco é que uma página de phishing pode capturar a senha e o código TOTP em tempo real e reproduzi-los antes que o período de 30 segundos expire. FIDO2 é um padrão criptográfico usado por chaves de hardware como YubiKey e por chaves de acesso em dispositivos modernos. Em vez de um código, ele cria uma assinatura criptográfica vinculada ao URL exato do site. Uma página de phishing em um domínio diferente não pode obter uma assinatura válida, o que torna o FIDO2 resistente ao phishing de uma forma que o TOTP não é. Para contas que são alvos de alto valor, o FIDO2 é a escolha certa.

Como lidamos com o MFA para contas compartilhadas?

As contas compartilhadas criam um problema real para o MFA porque o segundo fator é registrado para uma pessoa, bloqueando todas as outras. A solução correta é eliminar contas compartilhadas sempre que possível. A maioria das plataformas oferece suporte a contas de serviço, acesso baseado em função ou caixas de correio compartilhadas que os membros da equipe podem acessar por meio de suas próprias credenciais individuais. Onde uma conta compartilhada é inevitável, soluções como Microsoft Entra ID Privileged Identity Management (PIM) ou uma ferramenta PAM (gerenciamento de acesso privilegiado) podem exigir autenticação individual antes de conceder acesso ao recurso compartilhado. Algumas organizações usam um aplicativo autenticador compartilhado em um dispositivo dedicado armazenado em um local seguro. Nenhuma delas é tão limpa quanto contas individuais, mas todas são melhores do que uma pessoa segurando o token MFA para uma conta que toda a equipe usa.

O que são códigos de backup e por que são importantes?

Os códigos de backup são códigos de recuperação de uso único gerados quando você configura o MFA. Se você perder o acesso ao aplicativo autenticador ou à chave de hardware, um código de backup permitirá recuperar o acesso à conta. Sem eles, um telefone perdido ou um YubiKey quebrado pode deixar um funcionário bloqueado. Gere códigos de backup para cada conta que os suporte, imprima ou armazene-os em um gerenciador de senhas ou em um cofre de documentos seguro e trate-os com a mesma sensibilidade que as próprias credenciais. Para contas empresariais no Microsoft 365, configure a redefinição de senha de autoatendimento Entra ID com métodos de autenticação de backup para que os funcionários tenham um caminho de recuperação que não exija uma chamada ao suporte técnico às 23h.

O MFA atende aos requisitos do ISO 27001 e Cyber Essentials?

MFA suporta diretamente vários controles ISO 27001:2022. O Anexo A.8.5 (Autenticação Segura) exige que os controles de autenticação correspondam à classificação das informações que estão sendo acessadas e exige especificamente a autenticação multifatorial para acesso remoto e contas privilegiadas. O Anexo A.8.2 (Direitos de acesso privilegiado) exige que o acesso privilegiado seja rigorosamente controlado, o que na prática significa o MFA como linha de base. Para Cyber Essentials, o esquema atual requer MFA em todos os serviços em nuvem e conexões de acesso remoto onde houver suporte técnico. Cyber Essentials Plus inclui uma auditoria técnica que verificará diretamente a configuração do MFA. Atender a ambos os esquemas requer, no mínimo, o MFA em interfaces de e-mail, VPN e administração, sem nenhum protocolo de autenticação legado ativado.

Fale com Cyvra

Implante o MFA corretamente em sua empresa

Configuramos MFA e acesso condicional para ambientes Microsoft 365 na Holanda e no Reino Unido. Entre em contato conosco para definir o escopo do trabalho.

Isenção de responsabilidade: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. Cyvra não oferece nenhuma garantia quanto à precisão ou integridade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais atuais. Os leitores devem procurar aconselhamento jurídico e regulamentar independente, adequado às suas circunstâncias específicas. Cyvra não se responsabiliza por qualquer perda decorrente da confiança neste conteúdo.