- O MFA bloqueia mais de 99% dos ataques automatizados de credenciais, de acordo com a análise de telemetria de identidade do Microsoft
- As chaves de hardware (FIDO2/YubiKey) fornecem a mais alta segurança; SMS é o método MFA mais fraco e vulnerável à troca de SIM
- Comece com e-mail e acesso remoto, depois passe para sistemas financeiros e tudo mais
- MFA somente SMS, lacunas na cobertura do usuário e desvio de autenticação legado são as três falhas de implantação mais comuns
- O ISO 27001 Anexo A.8.5 e o Cyber Essentials exigem o MFA em serviços em nuvem e acesso remoto, no mínimo
Por que as senhas por si só continuam falhando
Uma senha é um único segredo. No momento em que esse segredo sai do seu controle, sua conta está aberta. As senhas saem do seu controle por meio de canais nos quais você não tem visibilidade.
Preenchimento de credenciais é o vetor de ataque mais comum contra contas empresariais. Os invasores compram bancos de dados de combinações de e-mail e senha vazadas de sites violados e, em seguida, executam ferramentas automatizadas que testam essas credenciais no Microsoft 365, Google Workspace, gateways VPN e portais bancários. O ataque funciona porque as pessoas reutilizam senhas. Uma credencial vazada em uma violação de varejo há cinco anos ainda abre contas hoje, porque a senha nunca mudou. HaveIBeenPwned indexa atualmente mais de 13 bilhões de contas violadas.
Phishing entrega credenciais diretamente aos invasores. Uma página de login convincente para o Microsoft 365 ou para o portal VPN da sua empresa leva menos de uma hora para ser criada e distribuída. O usuário digita seu nome de usuário e senha no que parece ser um formulário legítimo. Os invasores capturam as credenciais em tempo real. Nenhuma vulnerabilidade técnica necessária.
Pulverização de senha adota a abordagem oposta ao recheio. Em vez de tentar muitas senhas em uma conta, os invasores tentam uma ou duas senhas comuns em milhares de contas. Escolhas comuns como Summer2024! ou Welcome1 têm sucesso em escala porque as políticas de senha que exigem uma letra maiúscula e um número produzem padrões previsíveis, e os limites de bloqueio param de bloquear após uma pulverização lenta.
Todos os três ataques falham contra uma conta com MFA. Uma senha roubada sem o segundo fator não contribui em nada para ataques automatizados. A telemetria de identidade do Microsoft coloca a taxa de bloqueio em 99,9%.
O que é MFA e como funciona
A autenticação multifator exige que o usuário apresente dois ou mais fatores de verificação de categorias distintas antes de obter acesso. As três categorias são:
- Algo que você sabe: uma senha, PIN ou resposta à pergunta de segurança
- Algo que você tem: um dispositivo físico, como um telefone executando um aplicativo autenticador, uma chave de segurança de hardware ou um cartão inteligente
- Algo que você é: um fator biométrico, como impressão digital ou digitalização facial
A autenticação de dois fatores (2FA) usa exatamente dois deles. MFA é o termo mais amplo que abrange dois ou mais. Na prática, a maioria das pessoas usa os termos de forma intercambiável e a maioria das implantações combina uma senha com um segundo fator baseado no dispositivo.
Um invasor que rouba sua senha não tem seu telefone. Um invasor que encontra seu telefone não sabe sua senha. Comprometer ambos, contra um alvo específico, no momento de uma tentativa de login, é muito mais difícil do que roubar uma senha de um banco de dados violado e executá-la por meio de uma ferramenta automatizada.
Tipos MFA classificados por segurança
Os métodos MFA variam amplamente em segurança. A tabela os classifica do mais forte ao mais fraco, de acordo com a resistência ao phishing e à interceptação em tempo real.
As chaves de hardware FIDO2 derrotam o phishing porque a assinatura criptográfica que produzem está matematicamente vinculada ao URL do site legítimo. Um site de phishing em um domínio diferente não pode produzir uma resposta de autenticação válida, mesmo que o usuário digite sua senha nele. Os códigos TOTP são passíveis de phishing em tempo real: um proxy man-in-the-middle pode capturar a senha e o código TOTP e reproduzi-los antes que a janela de 30 segundos feche.
Notificação push O MFA tem um ponto fraco específico chamado fadiga do MFA. Os invasores que possuem uma senha válida enviam solicitações push repetidas às 2h da manhã, até que um usuário cansado ou confuso toque em "Aprovar" para interromper as notificações. O Autenticador Microsoft agora suporta correspondência de números, o que exige que o usuário insira um número de dois dígitos exibido no login na tela de notificação push, evitando aprovações acidentais. Habilite a correspondência de números em suas políticas de acesso condicional do Entra ID.
Os ataques de troca de SIM contra contas empresariais aumentaram entre 2023 e 2025. Um invasor liga para sua operadora de celular, afirma ser você e transfere seu número para um SIM que ele controla. Todos os códigos SMS são encaminhados para eles. O processo de verificação da operadora não é robusto. Mova contas essenciais aos negócios para TOTP ou chaves de hardware e desative o SMS como opção substituta para essas contas.
Por onde começar: uma sequência de implantação
A meta é 100% de cobertura do MFA em todos os usuários e em todos os sistemas. Comece onde um compromisso causa mais danos.
1. Envie um e-mail primeiro
O e-mail comercial é a chave mestra para quase todo o resto. As redefinições de senha de todas as outras contas vão para o e-mail. Dados comerciais confidenciais fluem por e-mail. Os invasores que comprometerem uma conta Microsoft 365 ou Google Workspace podem ler e-mails, redirecionar instruções de pagamento e acessar todos os aplicativos conectados. Habilite o MFA no e-mail antes de mais nada, para todos os usuários, sem exceção.
No Microsoft 365, o caminho mais rápido são os padrões de segurança no portal Entra ID. Os padrões de segurança impõem o MFA para todos os usuários, bloqueiam protocolos de autenticação legados e exigem o MFA para todas as ações administrativas. É uma única alternância. Para organizações que precisam de controle mais granular, as políticas de acesso condicional permitem definir quais usuários, aplicativos, locais e estados de dispositivos acionam um desafio MFA.
2. VPN e acesso remoto
Gateways VPN e serviços de desktop remoto são o outro ponto de entrada principal para invasores. Uma credencial VPN comprometida coloca um invasor dentro do perímetro da sua rede com o mesmo acesso que um funcionário legítimo. Todas as soluções de acesso remoto, seja Cisco AnyConnect, Fortinet FortiClient, Palo Alto GlobalProtect ou Windows Remote Desktop Gateway, suportam MFA baseado em RADIUS ou integração direta com provedores de identidade como Entra ID. Configure-o antes de expandir ainda mais o acesso remoto.
3. Sistemas financeiros e de pagamento
Bancos on-line, plataformas de pagamento e softwares de contabilidade como Exact, Twinfield ou Xero contêm os dados que os invasores visam em ataques de comprometimento de e-mail comercial. Muitas dessas plataformas suportam TOTP ou MFA baseado em aplicativo em suas configurações de segurança. Habilite-o para todos os usuários que podem iniciar ou aprovar pagamentos. Alguns bancos exigem o MFA para contas empresariais; trate aqueles que não o fazem como exceções que exigem uma discussão separada sobre riscos.
4. Todo o resto
Assim que as três categorias de maior risco tiverem o MFA, estenda a cobertura a todos os serviços em nuvem restantes: plataformas de CRM, sistemas de RH, armazenamento de arquivos, ambientes de desenvolvimento, consoles de gerenciamento de DNS e contas de registradores de domínio. As contas de registrador são de alto valor e raramente recebem MFA. Um invasor que comprometa sua conta de registrador de domínio pode redirecionar todo o DNS do seu domínio.
Se a implementação completa do MFA enfrentar resistência interna, comece com políticas de acesso condicional que exigem o MFA para logins de fora da rede do seu escritório. Isso não impõe nenhum atrito aos funcionários em suas mesas, ao mesmo tempo que protege o acesso remoto e móvel. Não é uma solução completa, uma vez que é possível comprometer a rede do escritório, mas elimina o vetor de ataque mais comum com custo zero para o usuário final durante o período de transição.
Erros comuns de implantação
Uma implantação do MFA com lacunas ainda dá aos invasores um caminho para entrar. Esses são os quatro erros que criam os maiores.
MFA somente SMS em contas de alto valor
Algumas organizações habilitam o MFA e depois aceitam o SMS como a única opção de fator porque não requer instalação de aplicativo. Para contas de usuário padrão, isso é uma compensação. Para executivos, pessoal financeiro, administradores de TI e qualquer pessoa com acesso a dados confidenciais, trata-se de um risco inaceitável. Segmente seus requisitos do MFA: exija TOTP ou FIDO2 para usuários privilegiados e de alto risco, aceite TOTP ou push como mínimo para usuários padrão e bloqueie SMS para contas que detêm poder real.
Não cobrindo todos os usuários
As políticas do MFA que excluem contas de prestadores de serviços, contas de serviços compartilhados ou usuários "temporários" criam pontos de entrada. Os invasores procuram contas fora do escopo da política principal. No Entra ID, verifique se há exclusões nas suas políticas de acesso condicional e audite-as trimestralmente. Cada conta excluída deve ter uma justificativa comercial documentada e com prazo limitado.
Permitindo protocolos de autenticação legados
Protocolos de autenticação legados, incluindo autenticação básica para Exchange ActiveSync, IMAP, POP3 e autenticação SMTP, não são compatíveis com MFA. Eles enviam credenciais como nome de usuário e senha sem nenhum mecanismo para um segundo fator. Se você ativar o MFA, mas deixar esses protocolos ativos, um invasor com uma senha roubada poderá ignorar o MFA conectando-se via IMAP. No Microsoft 365, bloqueie a autenticação legada usando uma política de acesso condicional com a condição definida como "Outros clientes" e a concessão definida como "Bloquear acesso". Verifique os logs de login do Entra ID para atividades de autenticação herdada antes de bloquear para identificar dispositivos ou aplicativos que precisam de reconfiguração.
Sem códigos de backup ou plano de recuperação
Os usuários que perdem o telefone ou a chave de hardware e não têm caminho de recuperação enfrentam uma chamada de suporte que pode levar horas para ser resolvida e pressionam a equipe de TI para contornar os controles. Gere códigos de backup para cada conta crítica, armazene-os em um gerenciador de senhas ou documento impresso em um local seguro e configure métodos de autenticação alternativos na redefinição de senha de autoatendimento do Entra ID para que os usuários tenham um caminho de recuperação documentado.
Microsoft 365 e Entra ID: orientação específica
A maioria dos clientes Cyvra executa o Microsoft 365. As configurações abaixo abordam os principais riscos.
Padrões de segurança. No portal Azure, abra Entra ID (anteriormente Azure Active Directory), Propriedades e Gerenciar padrões de segurança. A ativação dos padrões de segurança impõe o registro do MFA para todos os usuários, requer o MFA para todas as operações administrativas e bloqueia protocolos de autenticação legados. É o caminho mais rápido para a proteção básica e é gratuito em todas as licenças do Microsoft 365.
Acesso Condicional (requer Entra ID P1 ou Microsoft 365 Business Premium). O acesso condicional oferece controle granular sobre quando e como o MFA é necessário. Principais políticas a serem criadas: exigem MFA para todos os usuários que acessam qualquer aplicativo em nuvem; exigir MFA de todos os locais (incluindo redes confiáveis) para administradores; bloquear clientes de autenticação legados; e exigem um dispositivo compatível ou associado ao Entra ID para acesso a dados confidenciais. O painel Microsoft Secure Score no portal Microsoft 365 Defender mostra quais dessas políticas estão em vigor e avalia seu impacto.
Correspondência de números para notificações push. Em Entra ID, vá para Segurança, Métodos de Autenticação e Autenticador Microsoft. Ative a correspondência de números para evitar ataques de fadiga do MFA. O Microsoft habilitou isso por padrão em novos locatários desde 2023, mas verifique se está ativo em seu locatário.
Política de métodos de autenticação. Em Segurança, depois em Métodos de Autenticação, revise quais métodos cada grupo de usuários pode registrar. Restrinja o SMS aos grupos de usuários onde você revisou e aceitou a compensação. Exija tokens FIDO2 ou OATH de software para administradores globais e funções de identidade privilegiadas.
Gerenciamento de identidade privilegiada (PIM). Disponível com Entra ID P2 ou Microsoft 365 E3/E5, o PIM impõe acesso privilegiado just-in-time. Os administradores não possuem direitos de administrador globais permanentes; eles solicitam elevação por um período definido, o que aciona um desafio MFA e cria um log de auditoria. Isso limita o raio de explosão de uma conta de administrador comprometida à janela de elevação ativa.
MFA converte uma senha roubada de uma violação em um beco sem saída. Um invasor com suas credenciais, mas não com seu dispositivo, não ganha nada.
MFA e estruturas de conformidade
MFA aparece pelo nome ou implicação direta em todas as principais estruturas de segurança relevantes para PMEs.
ISO 27001:2022, Anexo A.8.5 (Autenticação Segura) afirma que os controles de autenticação devem refletir a classificação da informação do que está sendo acessado e, especificamente, apela à autenticação multifatorial como medida de controle para acesso remoto e para acesso a sistemas sensíveis. A.8.2 (Direitos de acesso privilegiado) exige que as contas privilegiadas operem sob controles mais rígidos do que os usuários padrão, o que na prática a comunidade de auditores interpreta como exigindo MFA no mínimo para todas as contas de administrador.
Cyber Essentials (Reino Unido). A atualização de janeiro de 2022 para Cyber Essentials requer MFA em todos os serviços em nuvem com suporte técnico e em todas as soluções de acesso remoto. A avaliação Cyber Essentials Plus inclui uma auditoria técnica da configuração de autenticação. A descoberta da falta do MFA em um serviço de nuvem ou VPN é uma falha direta nos requisitos de controle de acesso do esquema.
NIS2 (UE, Artigo 21). Embora o NIS2 não prescreva controles específicos, o Artigo 21 exige que entidades essenciais e importantes implementem “autenticação multifatorial ou soluções de autenticação contínua” como parte de sua higiene básica de segurança. NIS2 nomeia MFA diretamente, um dos poucos controles especificados pelo regulamento. Entidades holandesas no escopo do NIS2 e supervisionadas pelo NCSC-NL ou reguladores do setor enfrentam fiscalização onde o MFA está ausente em sistemas voltados para a Internet.
GDPR. O GDPR não obriga o MFA nominalmente, mas o Considerando 83 e o Artigo 32 exigem “medidas técnicas e organizacionais apropriadas” para proteger os dados pessoais. As Autoridades de Proteção de Dados na Holanda (AP) e no Reino Unido (ICO) citaram a ausência do MFA como um fator contribuinte nas ações de fiscalização de violações. Após uma violação, a ausência do MFA na conta comprometida torna mais difícil argumentar que você tomou as medidas técnicas apropriadas.
Durante uma auditoria ISO 27001, a exportação da política de acesso condicional do Entra ID e os logs de login são evidência direta de A.8.5. Exporte as definições de política como JSON e mantenha-as com a documentação da Declaração de Aplicabilidade. Os registros de login que mostram os desafios e sucessos do MFA demonstram que o controle está operando, e não apenas configurado.