Autenticação de Múltiplos Fatores – Perguntas e Respostas com Carlos Caetano, Diretor Regional Associado do PCI SSC

computer-767784_640

Os atacantes continuam a comprometer credenciais válidas para acessar as redes das empresas e roubar dados. Para ajudar as organizações a combater esta crescente ameaça, o PCI Security Standards Council (PCI SSC) emitiu orientações sobre o uso adequado de autenticação de múltiplos fatores (MFA) para impedir o acesso não autorizado a computadores e sistemas que processam transações de pagamento. Aqui, Carlos Caetano, Diretor Regional Associado do PCI SSC, explica por que essas diretrizes são necessárias e como as organizações podem se beneficiar com isso em seus esforços de segurança de pagamento e conformidade.

Por que o PCI SSC está emitindo orientações sobre a autenticação de múltiplos fatores?

Carlos Caetano: Desde suas primeiras versões, o PCI Data Security Standard (PCI DSS) exigiu que a autenticação de múltiplos fatores (MFA) fosse implementada para acesso remoto ao ambiente de dados do portador do cartão (CDE). No PCI DSS v3.2, um novo sub-requisito foi adicionado ao requisito 8.3, para que a MFA também seja aplicado a todos os acessos não-console no CDE para o pessoal com acesso administrativo.

Desde a atualização do padrão com essa mudança, recebemos uma série de perguntas, tanto das organizações que planejam implementar MFA como dos consultores de segurança que avaliam as implementações da MFA, sobre como os diferentes fatores devem ser implementados. O guia de informações para MFA fornece orientação sobre um número de melhores práticas reconhecidas pela indústria que devem ser incluídas como parte de uma implementação segura da MFA. O uso desta orientação não é necessário para atender aos requisitos atuais do PCI DSS, mas destina-se a ajudar as organizações a entender os princípios de segurança para implementar e adaptar as soluções MFA de forma eficaz para enfrentar os riscos de segurança.

O que é a MFA?

Carlos Caetano: A intenção da MFA é fornecer um grau mais alto de garantia da identidade do indivíduo tentando acessar um recurso – como um local físico, dispositivo de computação, rede ou banco de dados – criando um mecanismo de camadas múltiplas que um usuário não autorizado teria que derrotar a fim de obter acesso.

Além da identificação de usuário exclusiva de acordo com o Requisito 8.1.1 do PCI DSS, a MFA requer pelo menos dois dos três métodos de autenticação descritos no Requisito 8.2 do PCI DSS:

• Algo que você sabe, como uma senha ou frase secreta;
• Algo que você tem, como um dispositivo de token ou smart card;
• Algo que você é, como a biometria.

Você disse que a MFA é tão boa quanto sua implementação. Qual é um dos erros mais comuns que você vê quando se trata de implementação adequada?

Carlos Caetano: Algumas implementações de MFA podem não cumprir os princípios explicitados neste documento de orientação e, portanto, não estão fornecendo o benefício de segurança pretendido por autenticação de múltiplos fatores, que é impedir que alguém fingindo ser um usuário válido use um nome de usuário válido e senha para obter acesso a recursos de rede sensíveis e / ou dados do titular do cartão. Um desses princípios é que a MFA deve ser implementada para que os mecanismos de autenticação sejam independentes uns dos outros. Isto significa que o acesso a um fator não concede acesso a qualquer outro fator e o comprometimento de um fator não afeta a integridade ou a confidencialidade de qualquer outro fator.

Por exemplo, se um indivíduo usa um conjunto de credenciais (nome de usuário / senha) para autenticar na rede da empresa e usa as mesmas credenciais para acesso a uma conta de e-mail para a qual um segundo fator (como uma senha única) é enviado, esses fatores não são independentes de acordo com um número de padrões da indústria (por exemplo, NIST SP 800-63B). Isso ocorre porque o acesso a apenas um fator – o nome de usuário / senha neste caso – dá acesso à conta de e-mail e, portanto, o segundo fator, permitindo que uma pessoa obtenha acesso ao ambiente de dados do portador de cartão apenas conhecendo o nome de usuário / senha. Da mesma forma, o uso de um certificado de software armazenado em um laptop e protegido pelo mesmo conjunto de credenciais usado para fazer logon no laptop pode não atender aos requisitos de independência.

O que resulta em uma boa implementação da MFA?

Carlos Caetano: Os princípios de uma boa implementação da MFA incluem a independência dos mecanismos de autenticação, a proteção dos fatores de autenticação e a garantia de que nenhum conhecimento do sucesso ou falha de um fator é fornecido ao indivíduo até que todos os fatores tenham sido submetidos.

Como as organizações devem usar esse guia?

Carlos Caetano: As organizações são fortemente encorajadas a avaliar todas as implementações de MFA novas e em produção para conformidade com esses princípios, a fim de implementar soluções de forma eficaz e enfrentar melhor os riscos de segurança. Embora atualmente o PCI DSS não exija que as implementações de MFA atendam a todos os princípios descritos neste guia, ele poderá exigir no futuro e essas práticas recomendadas e reconhecidas pelo setor fornecerão um roteiro para futuras considerações de segurança.

O Guia de Autenticação de Múltiplos Fatores está disponível em: https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-v1.pdf.

Para obter recursos adicionais do PCI Security Standards Council, visite: https://www.pcisecuritystandards.org