Trace Id is missing
Avançar para o conteúdo principal
Microsoft Security

O que é a autenticação?

Saiba como as identidades de pessoas, aplicações e serviços são verificadas antes de lhes ser concedido acesso a sistemas e recursos digitais.

Explorar o Microsoft Entra ID

Definição de autenticação

A autenticação é o processo que as empresas utilizam para confirmar que apenas as pessoas, serviços e aplicações adequadas, com as devidas permissões, podem obter recursos organizacionais. Trata-se de uma parte importante da cibersegurança, visto que a principal prioridade de um agente malicioso é obter acesso não autorizado aos sistemas. Para isso, roubam o nome de utilizador e as palavras-passe dos utilizadores autorizados. O processo de autenticação inclui três passos fundamentais:

  • Identificação: os utilizadores identificam-se geralmente através de um nome de utilizador.
  • Autenticação: geralmente, os utilizadores comprovam a respetiva identidade ao introduzir uma palavra-passe (algo que apenas o utilizador é suposto saber), mas, para reforçar a segurança, há várias organizações que também exigem que os utilizadores comprovem a sua identidade através de algo que possuem (um telemóvel ou dispositivo token) ou algo único em cada indivíduo (impressão digital ou reconhecimento facial).
  • Autorização: o sistema verifica se os utilizadores têm permissão para entrar no sistema a que estão a tentar aceder.

Por que motivo é que a autenticação é importante?

A autenticação é importante porque ajuda as organizações a proteger os respetivos sistemas, dados, redes, sites e aplicações contra ataques. Além disso, ajuda as pessoas a manter a confidencialidade dos respetivos dados pessoais, o que lhes permite fazer negócios online, como operações bancárias ou investimentos, com menos riscos. Quando os processos de autenticação são fracos, é mais fácil para um atacante comprometer uma conta, quer ao adivinhar palavras-passe individuais, quer ao levar as pessoas a dizer as respetivas credenciais. Esta situação pode acarretar os seguintes riscos:

  • Falha de segurança de dados ou transferência de dados não autorizada.
  • Instalação de malware, como ransomware.
  • Não conformidade com os regulamentos de privacidade de dados regionais ou da indústria.

Como funciona a autenticação

No caso das pessoas, a autenticação consiste em criar um nome de utilizador, uma palavra-passe e outros métodos de autenticação, como um reconhecimento facial, uma impressão digital ou um PIN. Para proteger as identidades, nenhum destes métodos de autenticação é guardado na base de dados do serviço. As palavras-passe são colocadas em hash (não encriptadas) e os hashes são guardados na base de dados. Quando um utilizador introduz uma palavra-passe, esta também é colocada num hash e, posteriormente, os hashes são comparados. O acesso é concedido se os dois hashes corresponderem. No caso das impressões digitais e dos reconhecimentos faciais, as informações são codificadas, encriptadas e guardadas no dispositivo.

Tipos de métodos de autenticação

O processo de autenticação moderno é delegado a um sistema de identidade separado e fidedigno, em contraste com a autenticação tradicional em que cada sistema verifica a sua própria identificação. Além disso, registou-se uma mudança no tipo de métodos de autenticação utilizados. A maioria das aplicações requer um nome de utilizador e uma palavra-passe, mas à medida que os agentes maliciosos se tornaram mais hábeis a roubar palavras-passe, a comunidade de segurança desenvolveu vários métodos novos para ajudar a proteger as identidades.

Autenticação baseada em palavras-passe

A autenticação baseada em palavras-passe é o método de autenticação mais comum. Muitas aplicações e serviços exigem que as pessoas criem palavras-passe que utilizem uma combinação de números, letras e símbolos para reduzir o risco de um agente malicioso as adivinhar. No entanto, as palavras-passe também criam desafios em termos de segurança e facilidade de utilização. Torna-se difícil para as pessoas criar e memorizar uma palavra-passe única para cada uma das respetivas contas online, pelo que é comum reutilizarem as palavras-passe. Além disso, os atacantes utilizam várias táticas para adivinhar ou roubar palavras-passe ou para induzir as pessoas a partilhá-las de forma involuntária. Por este motivo, as organizações têm vindo a substituir as palavras-passe por outras formas de autenticação mais seguras.

Autenticação baseada em certificados

A autenticação baseada em certificados é um método encriptado que permite aos dispositivos e às pessoas identificarem-se perante outros dispositivos e sistemas. São exemplos deste tipo de autenticação os smart cards ou quando o dispositivo de um colaborador envia um certificado digital para uma rede ou servidor.

Autenticação biométrica

Na autenticação biométrica, as pessoas comprovam a respetiva identidade através de traços biológicos. Por exemplo, muitas pessoas utilizam o dedo ou o polegar para iniciar sessão nos telemóveis, ao passo que alguns computadores analisam o rosto ou a retina de uma pessoa para comprovar a respetiva identidade. Os dados biométricos estão também ligados a um dispositivo específico, pelo que os atacantes não os podem utilizar sem obterem também acesso ao dispositivo. Este tipo de autenticação é cada vez mais popular porque é fácil para as pessoas (não têm de memorizar nada) e não é fácil para os agentes maliciosos roubarem os dados, o que o torna mais seguro do que as palavras-passe.

Autenticação baseada em tokens

Na autenticação baseada em tokens, tanto um dispositivo como o sistema geram um novo número único denominado PIN monouso por tempo limitado (TOTP) de 30 em 30 segundos. Se os números corresponderem, o sistema confirma que o utilizador é detentor do dispositivo.

Palavra-passe monouso

As palavras-passe monouso (OTP) são códigos gerados para um determinado evento de início de sessão que expiram pouco tempo depois de serem emitidos. São enviados por SMS, e-mail ou um token de hardware.

Notificações push

Existem aplicações e serviços que utilizam notificações push para autenticar os utilizadores. Nestes casos, as pessoas recebem uma mensagem no telemóvel a pedir-lhes que aceitem ou recusem o pedido de acesso. Dado que, por vezes, as pessoas aceitam notificações push acidentalmente, ainda que estejam a tentar iniciar sessão nos serviços que enviaram a notificação, este método é por vezes combinado com um método OTP. Com esse método, o sistema gera um número único que o utilizador tem de introduzir. Desta forma, a autenticação é mais resistente ao phishing.

Autenticação por voz

No caso da autenticação por voz, a pessoa que tenta aceder a um serviço recebe uma chamada telefónica, na qual lhe é pedido que introduza um código ou que se identifique verbalmente.

Autenticação multifator

Uma das melhores formas de reduzir o comprometimento de contas é exigir dois ou mais métodos de autenticação, que podem incluir qualquer um dos métodos indicados anteriormente. Uma prática recomendada eficaz é exigir dois dos seguintes métodos:

  • Algo que o utilizador conhece, geralmente uma palavra-passe.
  • Algo que o utilizador possui, como um dispositivo fidedigno que não seja facilmente duplicado, como um telemóvel ou um token de hardware.
  • Algo único em cada indivíduo, como uma impressão digital ou reconhecimento facial.

Por exemplo, há muitas organizações que pedem uma palavra-passe (algo que o utilizador sabe) e também enviam uma OTP por SMS para um dispositivo fidedigno (algo que o utilizador tem) antes de conceder o acesso.

Autenticação de dois fatores

A autenticação de dois fatores é um tipo de autenticação multifator que requer duas formas de autenticação.

Autenticação vs. autorização

Embora a autenticação (por vezes designada como AuthN) e a autorização (por vezes designada como AuthZ) sejam frequentemente utilizadas de forma intercambiável, são duas coisas relacionadas, mas distintas. Enquanto a autenticação confirma que o utilizador que inicia sessão é quem diz ser, a autorização confirma que o utilizador tem as permissões certas para aceder às informações pretendidas. Por exemplo, alguém nos recursos humanos pode ter acesso a sistemas confidenciais, como folhas de pagamento ou ficheiros de colaboradores, que as outras pessoas não podem ver. Tanto a autenticação como a autorização são essenciais para permitir a produtividade e proteger dados confidenciais, propriedade intelectual e privacidade.

Práticas recomendadas em termos de segurança de autenticação

Dado que o comprometimento de contas é uma forma tão comum de os atacantes obterem acesso não autorizado aos recursos de uma empresa, é importante implementar uma segurança de autenticação forte. Seguem-se algumas sugestões que pode experimentar para proteger a sua organização:

  • Implemente a autenticação multifator

    O passo mais importante que pode dar para reduzir o risco de comprometimento da conta é ativar a autenticação multifator e exigir, pelo menos, dois fatores de autenticação. É muito mais difícil para os atacantes roubarem mais do que um método de autenticação, sobretudo se um deles for biométrico ou algo que o utilizador tenha na sua posse, como um dispositivo. Para simplificar ao máximo a tarefa dos colaboradores, clientes e parceiros, dê-lhes a opção de escolher entre vários fatores diferentes. No entanto, é importante notar que nem todos os métodos de autenticação são idênticos. Há uns mais seguros do que outros. Por exemplo, embora receber um SMS seja melhor do que nada, uma notificação push é mais segura. 

  • Adote a autenticação sem palavra-passe

    Depois de configurar a autenticação multifator, pode até optar por limitar a utilização de palavras-passe e incentivar as pessoas a utilizarem dois ou mais métodos de autenticação, como um PIN e dados biométricos. A redução da utilização de palavras-passe e a adoção de uma autenticação sem palavras-passe irá simplificar o processo de início de sessão e reduzir o risco de comprometimento da conta.

  • Aplique a proteção por palavra-passe

    Para além da formação dos colaboradores, existem ferramentas que pode utilizar para reduzir a utilização de palavras-passe fáceis de adivinhar. As soluções de proteção por palavra-passe permitem-lhe proibir as mais utilizadas, como Palavra-passe1. Além disso, pode criar uma lista personalizada que seja específica da sua empresa ou região, como os nomes de equipas desportivas locais ou pontos de referência.

  • Ative a autenticação multifator baseada em riscos

    Existem alguns eventos de autenticação que são indicadores de comprometimento como, por exemplo, quando um colaborador tenta aceder à sua rede a partir de um novo dispositivo ou de uma localização estranha. Outros eventos de início de sessão podem não ser atípicos, mas são de maior risco, como, por exemplo, quando um profissional de recursos humanos precisa de aceder a informações pessoais de um colaborador. Para reduzir o risco, configure a sua solução de gestão de identidades e acessos (IAM) para exigir pelo menos dois fatores de autenticação quando detetar estes tipos de eventos.

  • Dê prioridade à facilidade de utilização

    Uma segurança eficaz implica o apoio dos colaboradores e de outros intervenientes. Em certos casos, as políticas de segurança podem impedir as pessoas de realizarem atividades online perigosas, mas se as políticas forem demasiado rígidas, as pessoas irão encontrar uma solução alternativa. As melhores soluções adaptam-se a comportamentos humanos realistas. Implemente funcionalidades como a reposição personalizada de palavra-passe para que as pessoas não tenham de ligar para a assistência técnica quando se esquecem de uma palavra-passe. Isto também pode incentivá-las a escolher uma palavra-passe forte, uma vez que sabem que será fácil redefini-la caso se esqueçam mais tarde. A possibilidade de as pessoas escolherem o método de autorização que preferem é outra excelente forma de lhes simplificar o início de sessão.

  • Implemente o início de sessão único

    Uma excelente funcionalidade que melhora a facilidade de utilização e a segurança é o início de sessão único (SSO). Ninguém gosta que lhe seja pedida uma palavra-passe sempre que muda de aplicação, sendo que isto pode incentivar a utilização da mesma palavra-passe em várias contas para poupar tempo. Com o início de sessão único, os colaboradores só precisam de iniciar sessão uma vez para aceder à maioria ou a todas as aplicações de que necessitam para trabalhar. Isto reduz os obstáculos e permite-lhe aplicar políticas de segurança universais ou condicionais, como a autenticação multifator, a todo o software que os colaboradores utilizam.

  • Aplique o princípio de menor privilégio

    Limite o número de contas privilegiadas com base nas funções e conceda às pessoas o mínimo de privilégios necessários para desempenharem o respetivo trabalho. Definir o controlo de acesso ajuda a garantir que menos pessoas possam aceder aos seus dados e sistemas mais importantes. Quando alguém precisar de executar uma tarefa confidencial, utilize a gestão de acesso privilegiado, como a ativação do acesso just-in-time com durações de tempo, para reduzir ainda mais o risco. Além disso, é útil exigir que as atividades administrativas sejam realizadas apenas em dispositivos muito seguros, à parte dos computadores que as pessoas utilizam para as tarefas diárias.

  • Presuma que as falhas de segurança podem acontecer e realize auditorias regulares

    Em muitas organizações, as funções e o estatuto profissional das pessoas variam frequentemente. Os colaboradores saem da empresa ou mudam de departamento. Os parceiros entram e saem de projetos. Isto pode ser um problema quando as regras de acesso não acompanham o ritmo. É importante garantir que as pessoas não mantêm o acesso a sistemas e ficheiros de que já não necessitam para o respetivo trabalho. Para reduzir o risco de um atacante obter informações confidenciais, utilize uma solução de gestão de identidades para lhe ajudar a auditar consistentemente as suas contas e funções. Estas ferramentas também permitem garantir que as pessoas só têm acesso ao que necessitam e que as contas de pessoas que saíram da organização já não estão ativas.

  • Proteja as identidades contra ameaças

    As soluções degestão de identidades e acessos disponibilizam muitas ferramentas que ajudam a reduzir o risco de comprometimento de contas. No entanto, continua a ser inteligente antecipar uma falha de segurança de dados. Até mesmo os colaboradores mais instruídos caem por vezes em esquemas de phishing. Para detetar atempadamente o comprometimento de contas, invista em soluções de proteção de identidades contra ameaças e implemente políticas que permitam detetar e dar resposta a atividades suspeitas. Muitas soluções modernas, como o Microsoft Security  Copilot, utilizam IA não só para detetar ameaças, mas também para responder automaticamente às mesmas.

Soluções de autenticação na nuvem

A autenticação é fundamental tanto para ter um programa de cibersegurança forte como para permitir a produtividade dos colaboradores. O Microsoft Entra, uma solução abrangente de gestão de identidades e acessos baseada na nuvem, apresenta ferramentas para ajudar as pessoas a obterem facilmente o que precisam para fazer o respetivo trabalho, ao mesmo tempo que implementa controlos avançados que reduzem o risco de os atacantes comprometerem uma conta e obterem acesso a dados confidenciais.

Saiba mais sobre o Microsoft Security

Microsoft Entra ID

Proteja a sua organização com a gestão de identidades e acessos.

Saiba mais

Microsoft Entra ID Governance

Certifique-se automaticamente de que as pessoas certas têm o acesso certo às aplicações certas, na altura certa.

Saiba mais

Gestão de Permissões do Microsoft Entra

Obtenha uma solução unificada para gerir as permissões de qualquer identidade na sua infraestrutura multicloud.

Saiba mais

ID Verificada do Microsoft Entra

Descentralize as suas identidades com um serviço gerido de credenciais verificáveis baseado em normas abertas.

Saiba mais

ID de Carga de Trabalho Microsoft Entra

Faça a gestão e proteja as identidades concedidas a aplicações e serviços.

Saiba mais

Perguntas mais frequentes

  • Existem muitos tipos diferentes de autenticação. Seguem-se alguns exemplos:

    • Há muitas pessoas que iniciam sessão nos respetivos telemóveis através do reconhecimento facial ou da impressão digital. 
    • Os bancos e outros serviços exigem frequentemente que as pessoas iniciem sessão através de uma palavra-passe e de um código que é enviado automaticamente por SMS. 
    • Algumas contas requerem apenas um nome de utilizador e uma palavra-passe, embora muitas organizações estejam a adotar a autenticação multifator para reforçar a segurança.
    • Os colaboradores costumam iniciar sessão no respetivo computador e obter acesso a várias aplicações diferentes ao mesmo tempo, o que é conhecido como início de sessão único.
    • Além disso, existem contas que permitem aos utilizadores iniciar sessão com uma conta do Facebook ou do Google. Neste caso, o Facebook, o Google ou a Microsoft são responsáveis por autenticar o utilizador e passar a autorização para o serviço a que o utilizador quer aceder.

  • A autenticação na cloud é um serviço que confirma que apenas as pessoas e aplicações certas com as permissões certas podem obter acesso a redes e recursos na cloud. Existem muitas aplicações na nuvem com autenticação incorporada baseada na nuvem, mas também existem soluções mais abrangentes, como o Microsoft Entra ID, que foram pensadas para lidar com a autenticação em várias aplicações e serviços na nuvem. Geralmente, estas soluções utilizam o protocolo SAML para permitir que um serviço de autenticação funcione em várias contas.

  • Embora a autenticação e a autorização sejam frequentemente utilizadas de forma intercambiável, são duas coisas relacionadas, mas distintas. Enquanto a autenticação confirma que o utilizador que inicia sessão é quem diz ser, a autorização confirma que o utilizador tem as permissões certas para aceder às informações pretendidas. Utilizadas em conjunto, a autenticação e a autorização ajudam a reduzir o risco de um atacante obter acesso a dados confidenciais.

  • A autenticação é utilizada para verificar se as pessoas e entidades são quem dizem ser antes de lhes conceder acesso a recursos e redes digitais. Embora o objetivo principal seja a segurança, as soluções de autenticação modernas também foram concebidas para melhorar a facilidade de utilização. Por exemplo, muitas organizações implementam soluções de início de sessão único para que os colaboradores possam encontrar facilmente o que precisam para desempenhar as suas funções. Os serviços ao consumidor permitem frequentemente que as pessoas iniciem sessão com as respetivas contas do Facebook, Google ou Microsoft para agilizar o processo de autenticação.

Siga o Microsoft Security