O que é MFA (autenticação multifator)?
MFA (Multi-Factor Authentication, ou autenticação multifator) é uma verificação de identidade que exige duas ou mais provas para liberar o acesso a uma conta, não apenas a senha. Combina algo que você sabe (a senha), algo que você tem (o celular, um aplicativo, uma chave física) e, às vezes, algo que você é (biometria). Assim, uma senha roubada, sozinha, não basta para o invasor entrar.
Como funciona o MFA
Depois de digitar a senha, o sistema pede uma segunda prova antes de liberar o acesso. Essa etapa extra é o que trava a maioria dos ataques baseados em senha.
Você entra com a senha
O primeiro fator, algo que você sabe. Sozinho, é o elo mais fraco: senhas vazam, se repetem e são adivinhadas.
O sistema pede a segunda prova
Um código no aplicativo, uma notificação para aprovar, uma chave física ou a biometria. O fator que o invasor não tem, mesmo com a sua senha.
Você confirma no seu dispositivo
A aprovação acontece em algo que está com você, não com quem roubou a senha do outro lado do mundo.
O acesso é liberado
Só quando as duas provas batem. Se faltar a segunda, a senha correta não abre a porta.
Fonte: CISA e NIST (orientação de autenticação).
As formas de segunda verificação, da mais fraca à mais forte
- Código por SMS ou e-mail Um código enviado por mensagem. Melhor que só a senha, mas vulnerável à troca de chip (SIM swap) e à interceptação. É o degrau de entrada, não o ideal.
- Notificação para aprovar (push) Um toque para aprovar o acesso. Prático, mas exige atenção: aprovar por reflexo um pedido de acesso que não partiu de você é a brecha do 'cansaço de notificação'.
- Aplicativo autenticador Um código que muda a cada 30 segundos, gerado no seu celular. Não trafega pela rede e não depende de um toque por reflexo, o que o torna mais seguro que o SMS e que a notificação push.
- Chave de segurança ou biometria (resistente a phishing) Uma chave física (padrão FIDO) ou biometria ligada ao dispositivo. É a forma mais forte: nem um site falso consegue capturar e reutilizar a prova. É o MFA resistente a phishing que a CISA recomenda.
Por que a senha sozinha não protege mais
A senha é o elo mais fraco: é exposta em vazamentos, se repete entre sites e é adivinhada. Por isso uma credencial roubada é a via de entrada número um (22%, Verizon DBIR 2025) e por isso mais de 99,9% das contas comprometidas não tinham MFA (Microsoft, 2025). O MFA quebra essa corrente: mesmo com a sua senha, falta ao invasor a segunda prova. É um dos controles mais baratos e mais eficazes contra o roubo de contas. Não torna a empresa invulnerável (as formas mais fracas podem ser contornadas), mas tira a porta fácil, a primeira que os ataques automatizados testam, enquanto uma violação ainda custa, em média, $ 4,44 milhões (IBM 2025).
Como adotar o MFA do jeito certo
Ativar o MFA já elimina a maior parte do risco de invasão por senha. Alguns cuidados separam uma proteção real de uma falsa sensação de segurança:
- MFA em tudo que importaE-mail, acesso remoto, sistemas financeiros e administrativos. O invasor procura a única conta que ficou sem.
- Priorize as contas de maior poderAdministradores e diretores são o alvo preferido: uma conta dessas aberta vale por muitas.
- Prefira as formas mais fortesAplicativo autenticador ou chave física em vez de SMS, sempre que possível. A CISA recomenda MFA resistente a phishing.
- Cuidado com o 'cansaço de notificação'Aprovar um push por reflexo abre a porta. Oriente a equipe a nunca aprovar um acesso que não pediu.
- MFA não substitui as outras camadasSome ao MFA a defesa de endpoint e a segurança de e-mail. É uma camada essencial, não a única.
Na prática
Se a senha de um funcionário vazasse hoje, o invasor entraria? Com o MFA bem configurado, a senha sozinha não abre a porta.
Como a Zamak trata o MFA
A Zamak Technologies coloca a segunda verificação de identidade em todas as contas críticas e a integra ao restante da defesa, da proteção de endpoint à segurança de e-mail, para que uma senha vazada não vire uma porta aberta. Um bom ponto de partida é o diagnóstico de cibersegurança, que mostra onde ainda se depende só da senha. Faz parte da Cibersegurança do Método Zamak.