MFA: por que autenticação multifator é obrigatória — Duk

O que é MFA e por que ela virou a defesa de primeira linha

Autenticação multifator (MFA, do inglês Multi-Factor Authentication) é o mecanismo que exige mais de uma evidência de identidade para liberar o acesso a um sistema. Em vez de confiar apenas em uma senha — algo que o usuário sabe —, a MFA combina esse fator com algo que ele tem (um celular, token físico, certificado) ou algo que ele é (biometria: digital, face, íris). A lógica é simples: se um atacante obtém a senha por phishing, vazamento ou força bruta, ele ainda esbarra na segunda barreira.

Durante duas décadas, o login corporativo foi sustentado por um par usuário/senha. Esse modelo ruiu. A Verizon, no Data Breach Investigations Report 2025, aponta que 81% das invasões envolvem credenciais roubadas ou reutilizadas. A Microsoft, por sua vez, publica há anos um dado que se tornou referência no mercado: contas protegidas por MFA são 99,2% menos suscetíveis a comprometimento do que contas que dependem apenas de senha. Não existe, hoje, nenhuma outra medida de segurança com ROI comparável e custo de implementação tão baixo.

Por isso, MFA deixou de ser uma boa prática opcional e passou a ser requisito obrigatório em frameworks como ISO 27001, NIST 800-63B, PCI DSS 4.0 e nos controles de diligência exigidos por seguradoras cibernéticas. Em 2024 e 2025, diversas apólices de cyber insurance passaram a negar cobertura para sinistros em que a vítima não tinha MFA habilitada em contas privilegiadas. A discussão, portanto, não é mais "devemos implementar", e sim "por onde começar e em que cadência escalar".

Como ataques modernos derrotam senhas (e por que o fator único não sobrevive)

Para entender a urgência da MFA, é preciso olhar o panorama ofensivo. O mercado de credenciais vazadas é gigantesco: fóruns como o extinto BreachForums, além de canais do Telegram e marketplaces da dark web, comercializam bilhões de pares e-mail/senha extraídos de vazamentos históricos. Ferramentas de credential stuffing testam essas combinações em massa contra portais corporativos, Office 365, VPNs, bancos e ERPs — tudo automatizado, distribuído em botnets e indistinguível de tráfego legítimo para firewalls tradicionais.

Além disso, o phishing evoluiu. O chamado Adversary-in-the-Middle (AiTM), usando kits como Evilginx, EvilProxy e Tycoon 2FA, permite ao atacante proxyar em tempo real a tela de login do Microsoft 365 ou Google Workspace, capturando não só a senha, mas também o cookie de sessão válido. Campanhas desse tipo cresceram de forma consistente nos últimos 24 meses e atingem até organizações com MFA por SMS ou push simples habilitado.

Os vetores mais comuns que a MFA neutraliza ou mitiga são:

• Phishing tradicional: atacante colhe senha em página falsa; sem segundo fator, o acesso é imediato. Com MFA, precisa do código/token adicional.
• Credential stuffing: testa senhas vazadas em escala. MFA bloqueia 100% desses ataques automatizados.
• Força bruta e password spraying: tentativa sistemática de senhas comuns em múltiplas contas. Ineficaz contra MFA.
• Keyloggers e infostealers: malware captura senha digitada. Sem o segundo fator, o atacante para na MFA.
• Engenharia social: convencer o usuário a entregar a senha. Quebra, mas encontra resistência no segundo fator, especialmente se for biometria ou FIDO2.

"Se sua empresa implementa uma única mudança de segurança em 2026, que seja MFA resistente a phishing em todas as contas administrativas. Nenhum outro controle entrega tanta redução de risco por real investido." — CISA (Cybersecurity and Infrastructure Security Agency), EUA

Tipos de MFA: nem todo segundo fator tem a mesma força

Um erro comum é tratar "MFA" como bloco único. Na prática, existe uma hierarquia clara de resistência, e escolher o método errado pode gerar falsa sensação de segurança. O NIST classifica os fatores em níveis (AAL1, AAL2 e AAL3) justamente porque a robustez varia drasticamente.

Do mais frágil ao mais forte, os tipos mais usados no mercado corporativo brasileiro são:

1. SMS / ligação telefônica: método mais popular e mais fraco. Vulnerável a SIM swap (golpe da troca de chip), interceptação SS7 e phishing AiTM. O próprio NIST recomenda, desde 2017, que SMS seja evitado quando houver alternativa. Ainda é melhor que nada, mas não deve ser a escolha padrão para contas privilegiadas.
2. E-mail OTP: envio de código por e-mail. Herda a segurança da caixa de e-mail — se o atacante já comprometeu o e-mail, a MFA deixa de existir. Praticamente nunca recomendado como fator principal.
3. TOTP (apps como Microsoft Authenticator, Google Authenticator, Authy): código de 6 dígitos que rotaciona a cada 30 segundos, gerado offline no celular. Bom custo/benefício, resistente a SIM swap, mas ainda vulnerável a phishing em tempo real (AiTM) caso o usuário digite o código no site falso.
4. Push notification com number matching: envio de notificação ao app, exigindo que o usuário digite um número exibido na tela de login. Elimina o "MFA fatigue" (usuário aceita push por cansaço) e é hoje o padrão recomendado pela Microsoft no Entra ID.
5. FIDO2 / WebAuthn / Passkeys: chaves criptográficas ligadas ao domínio de origem. Imunes a phishing, AiTM e replay. Podem ser chaves físicas (YubiKey, Feitian) ou passkeys sincronizadas via iCloud, Google, 1Password. É o padrão-ouro e o que a CISA, o NIST e a Microsoft recomendam para contas privilegiadas.
6. Certificados digitais e cartões inteligentes: usados em governos, bancos e ambientes regulados. Alta segurança, maior complexidade operacional.

A regra prática para dimensionar: usuários comuns podem operar bem com Authenticator + number matching; administradores, contas de serviço expostas, financeiro e executivos devem usar MFA resistente a phishing (FIDO2 ou certificado). Misturar os dois níveis é o equilíbrio ideal entre segurança e experiência.

Implementação prática: roadmap de 90 dias para uma PME

Habilitar MFA não é só "ligar o botão". Uma implementação apressada gera chamados, resistência do usuário e, em alguns casos, bloqueios que param a operação. Depois de conduzir dezenas de projetos desse tipo, o caminho que mais reduz atrito é dividir em três ondas de 30 dias cada.

Dias 1-30 — Descoberta e contas críticas:

• Inventariar todos os serviços com login corporativo: Microsoft 365, Google Workspace, VPN, ERP, RDP/Terminal Server, painéis de nuvem (Azure, AWS, GCP), ferramentas SaaS (Zoho, Salesforce, etc.).
• Ativar MFA obrigatória para 100% das contas administrativas (Global Admin, DBAs, equipe de TI). Sem exceção, sem adiamento. Usar FIDO2 quando possível.
• Proteger contas de break-glass (emergência) com duas chaves FIDO2 guardadas em cofre físico.
• Desativar protocolos legados (IMAP, POP3, SMTP AUTH básico, ActiveSync antigo) — são a rota de fuga favorita para burlar MFA em Microsoft 365.

Dias 31-60 — Expansão controlada:

• Treinar usuários em grupos: por que MFA, como instalar o Authenticator, o que é number matching, como lidar com troca de celular.
• Habilitar MFA em ondas departamentais: financeiro e jurídico primeiro (alvos preferenciais de BEC), depois comercial e operacional.
• Configurar políticas de acesso condicional: exigir MFA fora da rede da empresa, bloquear acesso de países não operacionais, requerer dispositivo gerenciado (Intune) para apps sensíveis.
• Definir processo formal de reset: quem autoriza, com qual prova de identidade, em quanto tempo. Atacantes frequentemente ligam para helpdesk fingindo ser executivo e pedindo reset de MFA.

Dias 61-90 — Endurecimento e elevação de padrão:

• Substituir SMS por TOTP/push em 100% da base.
• Introduzir FIDO2/passkey para executivos, financeiro e TI.
• Ativar alertas de SIEM para eventos anômalos: MFA negada múltiplas vezes, adição de novo método de MFA sem contexto, login de país incomum pós-MFA.
• Rodar phishing simulado e medir quantos usuários inserem credencial e segundo fator em página falsa (indicador crítico de maturidade).

Em um projeto típico de PME com 80-150 colaboradores, a habilitação completa leva 8 a 12 semanas. Depois disso, tentativas de login comprometidas que antes geravam incidentes param no segundo fator e viram apenas logs — o ganho de tranquilidade operacional é imediato.

Armadilhas comuns e como evitar

MFA é poderosa, mas não é mágica. Alguns erros recorrentes reduzem drasticamente a proteção real e aparecem em praticamente toda auditoria:

• MFA só para o usuário, não para o admin: inversão perigosa. Administradores são alvo número um e precisam do método mais forte, não o mais conveniente.
• Confiar só em SMS: SIM swap no Brasil é crime crescente, especialmente contra executivos. Telefonia celular não é canal seguro para autenticação.
• "Confiar neste dispositivo por 30 dias": se o notebook for furtado ou comprometido, o atacante opera por um mês sem segundo fator. Reduzir para 1-7 dias em contas sensíveis.
• Não proteger o reset: helpdesk que reseta MFA por telefone sem validação forte é equivalente a não ter MFA. Processo deve exigir prova documental e, idealmente, validação por gestor.
• Esquecer contas de serviço e integrações: API keys, tokens OAuth, contas de sincronização continuam sendo alvo mesmo com MFA nos usuários. Usar identidades gerenciadas e rotação.
• MFA fatigue: atacante dispara dezenas de pushes até o usuário aprovar por engano. Mitigar com number matching e bloqueio após X negações.
• Não ter plano de rollback e break-glass: se o provedor de MFA cair ou o admin perder o dispositivo, a operação trava. Duas contas de emergência com FIDO2 em cofre resolvem.

A maturidade real de MFA mede-se menos pela taxa de cobertura e mais pelo comportamento em cenários adversos: o que acontece quando um celular é roubado, quando o helpdesk recebe um pedido suspeito, quando um usuário viaja para o exterior, quando um gestor pede exceção. Políticas escritas, treinamento contínuo e monitoramento de sinais fracos são o que separa "MFA habilitado" de "MFA que efetivamente bloqueia incidentes".

Como a Duk implementa MFA corporativa nos seus clientes

Na Duk Informática & Cloud, MFA é item obrigatório em todo ambiente que assumimos sob gestão. Em 18+ anos de operação e 550+ empresas atendidas, já vimos incidentes que custaram centenas de milhares de reais e que teriam sido totalmente evitados com um segundo fator corretamente configurado. Por isso, nossa metodologia entrega um projeto completo, não apenas o toggle ligado no painel.

Nosso pacote inclui: diagnóstico de superfície de identidade (quais apps, quais protocolos legados expostos, quais contas privilegiadas), design da política de acesso condicional no Microsoft Entra ID (antigo Azure AD), distribuição e configuração do Microsoft Authenticator com number matching, provisionamento de chaves FIDO2 para executivos e administradores, documentação de processos de reset e break-glass, treinamento da equipe em português claro e integração com nosso SOC para monitoramento 24/7. Como Microsoft Gold Partner, aplicamos o que há de mais atualizado em Entra ID, Conditional Access e Defender for Identity.

O suporte posterior acompanha o mesmo padrão: SLA médio de resposta de 3,7 minutos, analistas dedicados, e playbooks prontos para cenários como troca de celular, perda de chave FIDO2, viagem internacional, onboarding e offboarding. Em vez de você virar gestor de tickets de MFA, a Duk assume o ciclo completo.

Se sua empresa ainda depende só de senha, ou tem MFA parcial ("só os que aceitaram"), o risco atual é significativamente maior do que o custo de endereçar isso. Vamos conversar sobre o diagnóstico da sua operação e desenhar o roadmap adequado ao seu porte e setor.

Fale agora com um especialista Duk pelo WhatsApp: wa.me/5511957024493 — avaliação inicial sem compromisso, com retorno no mesmo dia útil.