Blog WatchGuard

Assinaturas digitais devem usar MFA

As assinaturas digitais são cada vez mais usadas nas empresas e administrações públicas. No entanto, sem as medidas de cibersegurança adequadas, este método pode ser um vetor para cibercriminosos e autores de fraudes: através de engenharia social podem levar as vítimas a acreditar que um documento é legítimo e, através da sua assinatura, obter autorização para realizar outras operações sem o seu consentimento, entre muitas outras atividades maliciosas. Então, como é que podemos evitar isto?

Assinaturas eletrónicas vs. digitais

Primeiro, é importante distinguir os conceitos de uma assinatura eletrónica ou e-assinatura e uma assinatura digital porque a cibersegurança desempenha um papel chave nesta diferenciação. Embora muitos meios de comunicação e fontes usem estes termos alternadamente, na verdade, todas as assinaturas digitais são eletrónicas, mas nem todas as assinaturas eletrónicas são digitais.

Na teoria, o propósito de uma e-assinatura é validar a autenticidade do documento, mas as assinaturas digitais vão mais além. Estas são um tipo específico de assinatura eletrónica que providencia uma segurança adicional. Além de assegurarem a autenticidade de um documento, as assinaturas digitais empregam métodos de criptografia standard, tais como os certificados digitais (por exemplo, SSL), para garantir que terceiros não interferem no processo. Para haver maiores garantias de segurança de que os signatários são legítimos e já estão incorporados em certificados de assinaturas digitais (DSC, na sigla original), com um certo nível de cibersegurança, deve ser incluída alguma forma de autenticação multifatorial (MFA).

Níveis de segurança

Os certificados de assinaturas digitais estão divididos em três categorias:

  • Classe 1 (DSC1): este representa um nível básico de segurança, uma vez que só são validados por email e/ou password. Por conseguinte, não são adequados para usar em documentos legais e só são válidos para documentos e ambientes de risco muito reduzido.
  • Classe 2 (DSC2): este é o nível de segurança mais comum para assinar documentos. Neste caso, verifica a autenticidade dos signatários em relação a uma base de dados pré-estabelecida onde o signatário foi previamente verificado aquando do registo e, cada vez mais, tem uma segunda camada de verificação para garantir que o signatário é o original no registo.
  • Classe 3 (DSC3): este é o nível de segurança mais elevado, mas é, também, o menos prático, visto que requer uma organização ou terceiros para verificar a identidade do signatário antes da assinatura. Por esta razão, a sua utilização tende a restringir-se a documentos legais, onde as consequências de uma falha na segurança podem ser muito perigosas.

Para a grande maioria dos documentos das organizações, o certificado DSC2 deverá ser suficiente, uma vez que os processos que requerem certificações DSC3 são geralmente demasiado dispendiosos em termos de recursos e de tempo.

No entanto, é imperativo que estes certificados DSC2 incluam um método de verificação adicional. Tenha em mente que 61% das falhas de segurança envolvem credenciais das vítimas. Se os cibercriminosos têm acesso a essas credenciais, podem usar um certificado digital obtido previamente. Mas, se uma organização tiver um segundo método de verificação, como um serviço MFA que seja fácil de gerir e altamente seguro, reduzirá significativamente as hipóteses de um documento ser manipulado. Neste sentido, as soluções mais avançadas têm proteção MFA adicional nos próprios telemóveis, para garantir que são os dispositivos autorizados e, assim, impedir que os atacantes possam utilizar telemóveis clonados.