A autenticação multifatorial (MFA) é uma abordagem que exige que os usuários verifiquem sua identidade com dois ou mais métodos de autenticação distintos antes de conceder acesso a um recurso solicitado. Esse processo em camadas evita a dependência de um único fator, como uma senha, que pode ser facilmente roubada, adivinhada ou vazada.

A ameaça contínua de roubo de credenciais torna essencial o uso de MFA. O Relatório de Investigações de Violações de Dados (DBIR, na sigla em inglês) da Verizon de 2025 concluiu que o abuso de credenciais continua sendo o principal vetor de acesso inicial em violações, representando 22% dos casos. A implementação de uma MFA robusta ajuda a reduzir o risco de acesso não autorizado decorrente do comprometimento de credenciais.

A MFA verifica a identidade por meio de três categorias, cada uma validando a identidade com um mecanismo diferente.

A combinação de fatores de categorias distintas aumenta a segurança:

Algo que você sabe (conhecimento)

• senhas
• PINs
• Padrões memorizados

Algo que você possui (posse).

• Apps autenticadores de TOTP
• Notificações push
• Chaves FIDO2/WebAuthn
• Cartões inteligentes

Algo que você é (inerência)

• Impressão digital
• Identificação facial
• Escaneamento da íris

A força da MFA vem da combinação de fatores de categorias separadas (duas senhas não constituem autenticação multifatorial).

Cada tipo de fator depende de diferentes mecanismos e proteções para verificar a identidade com segurança. A implementação correta da MFA exige uma compreensão dos detalhes técnicos e das considerações de segurança relativas aos fatores de conhecimento, posse e inerência.

Fatores de conhecimento

• A validação de senha e PIN compara a entrada do usuário com um hash armazenado, em vez de texto sem formatação. O sistema gera o hash usando algoritmos adaptativos, com uso intensivo de memória ou CPU (Argon2, bcrypt ou PBKDF2), com salts exclusivos e fatores de trabalho ajustados de acordo com as diretrizes OWASP e NIST SP 800-63B §5.1.1.2.
• As perguntas de segurança dependem de informações privadas conhecidas apenas pelo usuário. Esse mecanismo é inerentemente frágil, pois os invasores costumam obter as respostas de fontes públicas de dados, por meio de engenharia social ou violações de dados.

Fatores de posse

• A senha de uso único baseada em tempo (TOTP) gera códigos a partir de um segredo compartilhado e da hora atual. Os servidores validam os códigos dentro de um curto intervalo de tempo (normalmente 30 segundos, com uma tolerância de ±1 passo), garantindo que cada código expire rapidamente e possa ser usado apenas uma vez.
• A notificação push envia uma solicitação de autenticação para um dispositivo registrado. A ação de aprovação do usuário no próprio dispositivo serve como prova criptográfica de posse. Isso geralmente é complementado com informações contextuais (por exemplo, localização, tipo de dispositivo, registro de data e hora) para ajudar os usuários a identificar e distinguir entre solicitações legítimas e fraudulentas.
• As chaves FIDO2/WebAuthn usam criptografia assimétrica, em que uma chave privada é armazenada em um dispositivo físico. Durante a autenticação, o dispositivo assina um desafio com a chave privada; a assinatura é vinculada criptograficamente ao domínio de origem, tornando as credenciais inválidas em qualquer outro site.
• Os cartões inteligentes armazenam credenciais criptográficas em um hardware resistente a adulterações. O cartão realiza operações criptográficas internamente quando um usuário insere um PIN, garantindo que o material da chave privada nunca saia do chip seguro.
• Os códigos de backup são senhas geradas previamente e de uso único, criadas durante a inscrição na MFA. Cada código pode ser validado apenas uma vez, permitindo a recuperação da conta sem a necessidade do segundo fator primário.

Fatores de inerência

• A autenticação biométrica compara uma captura em tempo real com um modelo armazenado que foi transformado criptograficamente a partir dos dados biométricos originais. O sistema nunca armazena imagens ou digitalizações brutas. Ele armazena apenas as representações matemáticas que podem verificar uma correspondência sem reconstruir a biometria original.
• A detecção de vivacidade distingue a biometria humana genuína de tentativas de spoofing (por exemplo, fotos, máscaras, gravações) usando técnicas como sensor de profundidade, detecção de micromovimentos ou resposta a desafios (por exemplo, "pisque duas vezes"). A eficácia dessas contramedidas varia entre dispositivos de consumo e sistemas de alta segurança.
• A segurança do modelo determina se o fator biométrico permanece seguro caso o dispositivo seja comprometido. Processadores de enclave seguros e keystores com suporte de hardware isolam o processamento biométrico do sistema operacional central, impedindo a extração do modelo mesmo com acesso ao nível do dispositivo.

Principais categorias e mecanismos de MFA

Categoria do fator	Mecanismo de prova	Tipos comuns de autenticador
Conhecimento(algo que você sabe)	Um segredo memorizado pelo usuário	Senhas, PINs, frases de acesso
Posse (algo que você tem)	Um dispositivo físico ou token de hardware	Apps TOTP, notificações push, chaves FIDO2/WebAuthn, cartões inteligentes
Inerência (algo que você é)	Uma característica biológica verificável	Impressão digital, reconhecimento facial, leitura da íris

A autenticação de dois fatores (2FA) requer exatamente dois fatores. Normalmente, trata-se de uma senha mais um método de verificação adicional. Esse tipo de autenticação é a implementação padrão mais comum, e o que a maioria das pessoas entende por "MFA".

A autenticação multifatorial (MFA) é uma categoria mais ampla, que engloba qualquer método de autenticação que exija dois ou mais fatores de autenticação. Embora a distinção possa parecer semântica, ela é importante para a política de segurança. Por exemplo, sistemas que exigem três fatores (senha, TOTP e biometria) para ações de alto risco têm modelos de ameaças diferentes da 2FA padrão.

Na prática, a 2FA é uma implementação específica da MFA.

A exigência dos mesmos fatores de autenticação para cada login cria atrito sem um benefício de segurança proporcional.

A autenticação em vários níveis desafia os usuários autenticados com fatores adicionais somente quando ele tenta acessar recursos com maior sensibilidade. Por exemplo, um usuário faz login normalmente, navega em um aplicativo e acaba enfrentando um desafio de MFA ao acessar recursos protegidos ou realizar ações de alto risco.

Exemplo prático: um portal de funcionários pode usar autenticação somente por senha para leitura de documentos. No entanto, para modificar informações de folha de pagamento, baixar dados pessoais de funcionários ou alterar configurações do sistema, é preciso ter um segundo fator de autenticação, que pode incluir um código TOTP ou verificação biométrica.

Esse fluxo oferece uma experiência do usuário (UX) mais integrada para tarefas rotineiras, ao mesmo tempo que mantém uma segurança maior quando houver necessidade. A implementação exige identificar os recursos e as ações que justificam a verificação adicional, uma decisão de arquitetura de segurança que equilibra o risco com o atrito do usuário.

A Adaptive MFA (também conhecida como autenticação baseada em risco) ajusta dinamicamente os requisitos de autenticação com base em sinais contextuais. Em vez de aplicar regras idênticas a todas as tentativas de login, o sistema calcula as pontuações de risco com base em:

• Sinais de localização: reputação do endereço IP, localização geográfica e detecção de viagem impossível.
• Contexto do dispositivo: dispositivo conhecido versus dispositivo desconhecido, impressão digital do dispositivo, postura de segurança.
• Padrão comportamental: hora do dia, padrões de acesso típico, verificações de velocidade.
• Inteligência de ameaças: comprometimento de credenciais conhecidas, campanhas de ataque ativas.

Em cenários de baixo risco (por exemplo, um dispositivo reconhecido, um local familiar ou um comportamento normal), a autenticação de fator único pode ser uma opção viável. Cenários de alto risco (por exemplo, dispositivo novo, locais incomuns ou acesso fora do horário comercial) exigem fatores de verificação adicionais automaticamente ou bloqueiam o acesso por completo.

Uma Adaptive MFA eficaz requer um mecanismo de risco que processe sinais de segurança em tempo real e dados históricos. As plataformas de identidade (em vez de soluções personalizadas) normalmente fornecem isso, já que a taxa de falsos positivos determina se a Adaptive MFA melhora ou degrada a experiência do usuário.

Em comparação com a autenticação apenas por senha, os códigos TOTP e a verificação por SMS aumentam a segurança. No entanto, invasores sofisticados se adaptaram a esses métodos. Os proxies de phishing em tempo real podem capturar tanto senhas quanto códigos de uso único assim que os usuários os inserem e, em seguida, reproduzir imediatamente essas credenciais para o serviço legítimo, antes que expirem.

Esse ataque é bem-sucedido porque os métodos de TOTP e de SMS dependem de segredos compartilhados que existem tanto no cliente quanto no servidor. Se um invasor se posicionar no meio do processo, poderá interceptar e reutilizar esses segredos para burlar a autenticação.

Em ataques de fadiga de MFA, os invasores enviam spam de solicitações push de notificação, esperando que o usuário acabe aprovando uma apenas para interromper os alertas.

O FIDO2 implementa criptografia de chave pública para eliminar vulnerabilidades de segredos compartilhados.

O FIDO2 consiste em:

• WebAuthn: a API padrão W3C que navegadores e sistemas operacionais usam para interagir com autenticadores.
• Protocolo cliente-para-autenticador (CTAP): o protocolo que dispositivos externos usam (chaves de segurança, autenticadores NFC/Bluetooth/USB) para se comunicar com o cliente.

Como funciona a autenticação FIDO2:

Registro (inscrição)

• O autenticador gera um par de chaves pública/privada.
• A chave privada nunca sai do dispositivo; a chave pública é registrada no serviço.

Autenticação (login)

• O serviço envia um desafio criptográfico.
• O autenticador assina o desafio utilizando a chave privada.
• A assinatura está vinculada à origem (domínio) do site, impedindo sua reutilização em sites de phishing.

Mesmo que um usuário tente se autenticar em um site mal-intencionado, a resposta assinada é válida apenas para o domínio legítimo. Não há segredos para os invasores roubarem, tornando as chaves FIDO2 resistentes a phishing.

Chaves de acesso são credenciais FIDO2 armazenadas no ambiente seguro do dispositivo (por exemplo, o acesso às chaves do sistema operacional) e podem ser sincronizadas entre dispositivos confiáveis. Os usuários acionam a autenticação com um único gesto, como desbloquear o dispositivo usando verificação biométrica ou um PIN.

Com chaves de acesso:

• Não há senhas para roubar.
• Não existem códigos de uso único para phishing.
• Não há segredos compartilhados expostos em uma violação.

As chaves de acesso oferecem segurança de nível MFA em uma única ação de execução simples.

APIs, contas de serviço e comunicação máquina para máquina não são capazes de completar desafios interativos de MFA, como códigos TOTP ou notificações push. Em vez disso, os princípios de MFA aplicam-se com atestação criptográfica, fornecendo prova de identidade e posse.

• Pares de chaves assimétricas: os serviços usam chaves privadas para assinar solicitações ou declarações de clientes portadores de JWT do OAuth 2.0 (conforme especificado na RFC 7523). O servidor de autorização registra as chaves públicas. A chave privada nunca sai do serviço ou HSM e serve como um fator de posse equivalente.
• TLS mútuo (mTLS): tanto o cliente quanto o servidor apresentam certificados para estabelecer confiança bidirecional. O certificado do cliente comprova a identidade e a posse do serviço, enquanto o certificado do servidor verifica a autenticidade.
• Identidade da carga de trabalho/atestação da plataforma: as plataformas em nuvem atestam criptograficamente a identidade e a integridade das cargas de trabalho em execução. A plataforma emite credenciais de curta duração de modo dinâmico, eliminando a necessidade de segredos de longa duração. Essa abordagem permite a autenticação de serviço Zero Trust sem gerenciamento manual de chaves.

Esses padrões estendem o modelo de verificação em camadas da MFA para sistemas automatizados, utilizando criptografia em vez de entrada interativa do usuário. Os fatores de posse para identidades não humanas (NHI) podem incluir pares de chaves assimétricas, declarações JWT assinadas ou chaves de assinatura respaldadas por HSM, fornecendo uma verificação forte e resistente a phishing para máquinas e serviços.

Para muitas organizações, a MFA não é opcional, pois a estrutura regulatória exige cada vez mais autenticação multifatorial para o acesso a dados sensíveis:

• O PCI DSS v4.x exige MFA para a maioria dos acessos ao ambiente de dados do titular do cartão (CDE), incluindo acesso remoto e usuários privilegiados, embora cláusulas e exceções específicas se apliquem. As equipes de TI e segurança devem consultar as diretrizes do PCI SSC para conferir o escopo exato dos requisitos.
• O GDPR exige “medidas técnicas e organizacionais adequadas”, que os reguladores interpretam cada vez mais como incluindo a autenticação multifatorial (MFA) para acesso a dados pessoais.
• Os auditores do SOC 2 avaliam os controles de autenticação. Para ter a certificação, normalmente é exigida a MFA para acesso administrativo e operações privilegiadas.
• O NIST SP 800-63B fornece uma orientação técnica sobre autenticação de identidade digital que as agências federais devem seguir e que as organizações privadas adotam cada vez mais como boas práticas.

1. Fluxos de recuperação inseguros: mecanismos de recuperação de conta que ignoram a MFA (como links para redefinição de e-mail com autenticação única) criam brechas de segurança. As equipes devem projetar a recuperação com um nível de segurança igual ou superior ao do login inicial.
2. SMS como único fator adicional: a dependência exclusiva do SMS deixa as organizações vulneráveis a ataques de troca de SIM. Apps autenticadores com TOTP ou chaves de hardware ajudam a fornecer uma proteção mais robusta.
3. Não proteger os tokens de sessão: a MFA no login será ineficaz se os invasores roubarem e reutilizarem o token de sessão. Os tokens precisam de expiração adequada, armazenamento seguro e monitoramento.
4. Forçar a MFA universalmente sem contexto de risco: a exigência de fatores de autenticação idênticos para cada ação cria atrito, levando o usuário a buscar soluções alternativas. A autenticação em vários níveis concentra a proteção onde ela é mais importante, preservando a usabilidade.
5. Ignorar métodos resistentes a phishing: códigos TOTP e SMS são melhorias em relação às senhas, mas permanecem vulneráveis ao phishing em tempo real. Organizações que lidam com dados sensíveis devem priorizar chaves de segurança e chaves de acesso WebAuthn/FIDO2.

Qual é a principal vantagem de segurança que a MFA oferece em comparação com a autenticação somente por senha?

A autenticação multifatorial (MFA) protege contra o roubo de credenciais. Mesmo que os invasores roubem uma senha, eles não conseguem acessar a conta sem o segundo fator de segurança, seja ele um código gerado pelo dispositivo, verificação biométrica ou uma chave de segurança física.

Por que especialistas em segurança desaconselham a MFA baseada em SMS?

Os invasores exploram o envio de códigos por SMS realizando ataques de troca de SIM, nos quais convencem as operadoras de telefonia móvel a transferir números de telefone para dispositivos sob seu controle. Embora a MFA por SMS seja mais eficaz do que a autenticação apenas por senha, apps autenticadores com TOTP e chaves de segurança de hardware oferecem uma proteção mais robusta, que não depende das práticas de segurança da operadora de celular.

Os invasores são capazes de contornar ou burlar a MFA?

Ataques sofisticados de phishing que utilizam proxies em tempo real podem burlar a MFA tradicional, que usa códigos de TOTP ou por SMS. A MFA usando chaves de segurança ou chaves de acesso FIDO2/WebAuthn depende de provas criptográficas de posse vinculadas a domínios específicos.

O que acontecerá se os usuários perderem o acesso ao segundo fator?

As equipes de TI podem fornecer métodos de recuperação seguros, como códigos de backup gerados durante a inscrição ou reinscrição com verificação de identidade, para restaurar o acesso. A equipe de segurança deve proteger os fluxos de recuperação com um nível de garantia igual ou superior ao do processo de MFA original e evitar fluxos de fator único, como redefinições apenas por e-mail, que possam contornar a MFA.

Existem leis ou regulamentos que exigem MFA?

Muitas estruturas regulatórias exigem ou recomendam fortemente a MFA. O PCI DSS v4.x exige a MFA para a maioria dos acessos ao ambiente de dados do titular do cartão (CDE), incluindo usuários remotos e privilegiados, embora cláusulas e exceções específicas se apliquem. De acordo com a HIPAA, a MFA é uma medida endereçável. As organizações que optarem por não a implementar devem registrar sua justificativa e aplicar controles alternativos que ofereçam proteção comparável às informações eletrônicas de saúde protegidas.

Embora seja possível desenvolver recursos de MFA por conta própria, as plataformas de identidade modernas oferecem implementações prontas para produção com mecanismos de risco adaptativos, autenticadores resistentes a phishing e controles de conformidade integrados. Explore nossa série Introdução ao IAM para mais informações sobre tópicos relacionados ao gerenciamento de identidade e acesso.

Saiba mais

Este material destina-se apenas a fins informativos gerais. Você é responsável por obter aconselhamento sobre segurança, privacidade, conformidade ou negócios de seus próprios consultores profissionais e não deve confiar exclusivamente nas informações aqui fornecidas.