Entendendo a Autenticação Multifator

O cenário de fraudes vem crescendo exponencialmente em âmbito nacional e mundial. Segundo uma pesquisa da CNDL/SPC Brasil (junho de 2021), 59% dos consumidores sofreram algum tipo de fraude. São diversas as modalidades: fraudes em cartão de crédito, documentos fraudulentos, golpes por telefone, entre diversos outros.

Nesse contexto, um dos tipos de fraudes mais comuns nos últimos meses tem sido o roubo de contas (ou account takeover). Tal ato se caracteriza pela entrada de um criminoso em uma conta que não é sua. Vamos supor que você tem uma conta no banco x, assim como possui o aplicativo do banco baixado no seu smartphone. Por um acaso, a entidade deixou seus dados de número de conta e senha vazarem. Tendo em vista essa situação, a probabilidade é que criminosos tentem acessar a sua conta e, caso o banco citado não tenha os devidos mecanismos de segurança, eles conseguirão facilmente o acesso, podendo furtar os valores depositados nela. Esse é um exemplo típico de roubo de contas. 

Quais são, então, as ferramentas ideais para se defender desses furtos? Uma das soluções mais eficientes para resolver esse problema é a autenticação multifator (ou multi-factor authentication). Ela é composta por três pontos: uma coisa que o usuário tem (ex: smartphone), algo que ele sabe (ex: senha) e algo que ele é (ex: rosto). Essa combinação evita qualquer tipo de invasão, uma vez que agrega três características distintas que o fraudador não consegue intercalar. 

A autenticação multifator possibilita também verificações passivas, isto é, nas quais o usuário não tem ação sobre, ou seja, não as vê acontecendo, bem como verificações ativas, quando alguma anomalia acontece e o usuário é chamado a fazer alguma atividade. Um dos casos mais corriqueiros é quando o cliente troca de smartphone e baixa o aplicativo da instituição novamente. Nesse momento, os diferentes celulares são identificados pelo banco através de um mecanismo chamado fingerprint, uma espécie de código identificador do dispositivo.

Como um novo fingerprint, uma verificação passiva, é identificado, o cliente tem a necessidade de realizar alguma ação para provar que é ele mesmo que está acessando a conta no novo número identificador do celular e não um criminoso. Essa seria a parte da verificação ativa, sendo alguns exemplos: autenticação facial, quiz e SMS ou email de verificação. 

Vale a menção da fricção trazida ao usuário nessas verificações ativas. Em geral, o meio mais ágil e seguro é a autenticação facial por meio de prova de vida passiva. O usuário é convidado a tirar uma selfie e esta é comparada com a foto do seu cadastro, comprovando se a pessoa é quem diz ser. É possível, ainda, trabalhar com a autenticação facial e outros meios, a depender do grau de similaridade entre a nova selfie e a foto do cadastro. 

Algumas empresas já consideram outras variáveis passivas para ter certeza de que o usuário que está acessando a conta é ele mesmo. A geolocalização e a rede de internet que o cliente está usando são dois exemplos. A Binance, corretora de criptomoedas, pede uma autenticação de dois fatores (SMS ou email) toda vez que o usuário muda de rede wifi. 

Em síntese, a autenticação multifator é o melhor meio de prevenir roubos de conta atualmente, visto que agrega verificações inativas, que não geram impacto ou fricção com o usuário. Ao mesmo tempo, caso alguma anomalia seja identificada, o cliente é notificado e convidado a provar sua identidade, garantindo que suas dependências não serão invadidas.