Blog WatchGuard

4 dicas para evitar a fadiga de MFA na sua empresa

A implementação da autenticação multifatorial (MFA) é, sem dúvida, a melhor forma de proteger a sua empresa e os seus dados. No entanto, quando se trata de gestão de identidades, tanto os utilizadores como os administradores tendem a exigir um equilíbrio entre eficiência, conveniência e segurança, tudo ao mesmo tempo. É um desafio difícil, mas que pode ser vencido.  

Isto deve-se, principalmente, ao facto de os utilizadores poderem ver a MFA como uma barreira que cria fricção durante a utilização e que pode abrandar a produtividade. Muitas vezes, quando há uma escolha entre velocidade e segurança, as pessoas preferem a velocidade. Mas, felizmente, se aplicada corretamente, a MFA pode aumentar a cibersegurança sem aumentar a complexidade ou reduzir a produtividade do utilizador final.  

Dicas para evitar o cansaço de MFA na sua organização 

Ao escolher a melhor solução MFA para o seu negócio, é necessário avaliar as necessidades da sua organização, tendo em conta o tipo de dados a proteger, bem como a complexidade dos requisitos de segurança. Isto é importante, pois os utilizadores podem cansar-se desta tecnologia e tentar contorná-la. Optar pela solução certa pode fazer toda a diferença e, seguindo as dicas abaixo, pode evitar o cansaço dos utilizadores finais e ajudá-los a utilizar a ferramenta da forma correta:

1. Formar os utilizadores sobre o MFA:

Embora possa parecer um pouco básico, fornecer formação aos utilizadores é uma das melhores práticas para ultrapassar a resistência ao MFA. Na maioria dos casos, os humanos são considerados o elo mais fraco da cadeia, por isso é crucial educá-los adequadamente sobre a importância do MFA.  

2. É possível combinar a MFA com o SSO:

A autenticação de início de sessão único oferece uma excelente experiência de utilizador e, ao combiná-la com a MFA, é possível obter uma experiência mais simples e, ao mesmo tempo, reforçar a segurança. Isto ajuda a eliminar algumas das maiores barreiras à adoção desta tecnologia.  

3. Não se esqueça de rever as definições e políticas de autenticação:

Certifique-se de que a solução de MFA está configurada de forma segura e que os utilizadores sabem como utilizá-la corretamente. Além disso, pode ser benéfico designar diferentes fatores de autenticação com base nas funções, de modo a que os factores com elevada resistência a ataques possam ser implementados para contas privilegiadas, enquanto os mais simples, mas eficazes, podem ser implementados para funções de utilizador menos privilegiadas.

4. Certifique-se de que a sua solução consegue lidar com a evolução dos vetores de ameaça:

Uma nova técnica de engenharia social denominada "ataques de fadiga MFA" foi desenvolvida recentemente e continua a ganhar popularidade entre os cibercriminosos devido ao seu elevado nível de eficácia. Nestes ataques, os agentes maliciosos enviam vários pedidos de MFA na esperança de frustrar um utilizador legítimo que, quando sobrecarregado pelo número de alertas, pode desativar a solução de MFA, pensando que está a funcionar mal, ou o cibercriminoso pode fazer-se passar por um funcionário de apoio e pedir o código de que necessita para iniciar sessão na conta do utilizador.   

Uma boa solução MFA deve evoluir e incorporar novas funcionalidades adaptadas às mais recentes estratégias utilizadas pelos cibercriminosos. Como tal, têm de oferecer uma alternativa que bloqueie as notificações de spam que possam indicar um ataque de phishing, o que significa que as notificações push podem ser desactivadas para evitar o início de sessão não autorizado causado pela fadiga de MFA.  

Segundo um relatório, 86% dos ataques a aplicações web empresariais, bem como quase 40% dos ataques BEC, provêm do roubo de credenciais. A MFA proporciona uma maior certeza de que um utilizador é quem afirma ser antes de conceder acesso a uma aplicação ou conta online. No entanto, se as barreiras relacionadas com a experiência do utilizador final não forem tidas em consideração, esta solução pode não cumprir o seu objetivo.  

Ao seguir estas dicas, pode melhorar a segurança da sua organização sem comprometer a experiência do utilizador e reduzir o risco de senhas comprometidas.

Se quiser saber mais sobre os ataques de phishing MFA, não deixe de visitar o nosso blog: