This is the Trace Id: bbb265d39a399b1ceb562eb273ac675d
Pular para o conteúdo principal Por que a Segurança da Microsoft? Segurança cibernética da plataforma AI Segurança da nuvem Segurança e governança de dados Identidade e acesso à rede Gerenciamento de riscos e privacidade Segurança para IA Operações de segurança integradas Confiança Zero Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot ID do Microsoft Entra (Azure Active Directory) ID do agente Microsoft Entra ID externa do Microsoft Entra Microsoft Entra ID Governance Microsoft Entra ID Protection Acesso à Internet do Microsoft Entra Acesso privado do Microsoft Entra Gerenciamento de Permissões do Microsoft Entra ID Verificada do Microsoft Entra ID de carga de trabalho do Microsoft Entra Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender para Ponto de Extremidade Microsoft Defender para Office 365 Microsoft Defender para Identidade Microsoft Defender for Cloud Apps Gerenciamento de exposição da Segurança da Microsoft Gerenciamento de Vulnerabilidades do Microsoft Defender Informações sobre Ameaças do Microsoft Defender Suíte do Microsoft Defender para Business Premium Microsoft Defender para Nuvem Gerenciamento de postura de segurança da nuvem do Microsoft Defender Gerenciamento da Superfície de Ataque Externo do Microsoft Defender Firewall do Azure Firewall de Aplicativo Web do Azure Proteção contra DDoS do Azure Segurança Avançada do GitHub Microsoft Defender para Ponto de Extremidade Microsoft Defender XDR Microsoft Defender para Empresas Recursos essenciais do Microsoft Intune Microsoft Defender para IoT Gerenciamento de Vulnerabilidades do Microsoft Defender Análise avançada do Microsoft Intune Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune Gerenciamento de aplicativos do Microsoft Intune para empresas Ajuda Remota do Microsoft Intune PKI em nuvem da Microsoft Conformidade de Comunicações do Microsoft Purview Gerenciador de Conformidade do Microsoft Purview Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview Descoberta Eletrônica do Microsoft Purview Auditoria do Microsoft Purview Gerenciamento de riscos do Microsoft Priva Solicitações de direitos do titular Microsoft Priva Governança de Dados do Microsoft Purview Suíte do Microsoft Purview para Business Premium Funcionalidades de segurança de dados do Microsoft Purview Preços Serviços Parceiros Conscientização sobre segurança cibernética Histórias de clientes Introdução à segurança Avaliações de produtos Reconhecimento do setor Microsoft Security Insider Relatório de Defesa Digital da Microsoft Security Response Center Blog de Segurança da Microsoft Eventos de Segurança da Microsoft Tech Community da Microsoft Documentação Biblioteca de conteúdo técnico Treinamentos e certificações Programa de Conformidade para a Microsoft Cloud Central de Confiabilidade da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de soluções empresariais Entre em contato com o departamento de vendas Inicie uma avaliação gratuita Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 IA da Microsoft Espaço do Azure Realidade misturada Microsoft HoloLens Microsoft Viva Computação quântica Sustentabilidade Educação Automotivo Serviços financeiros Governo Saúde Manufatura Varejo Encontrar um parceiro Seja um parceiro Partner Network Microsoft Marketplace Marketplace Rewards Empresas de desenvolvimento de software Blog Microsoft Advertising Centro do desenvolvedor Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
Dois profissionais em pé juntos em um escritório, segurando um tablet e conversando sobre o trabalho.

O que é autenticação?

Saiba como as identidades de pessoas, aplicativos e serviços são verificadas antes de receberem acesso a sistemas e recursos digitais.
Descubra o Microsoft Entra ID

Autenticação definida

Autenticação é o processo que as empresas usam para confirmar que apenas as pessoas, serviços e aplicativos certos com as permissões certas podem obter recursos organizacionais. É uma parte importante da segurança cibernética, pois a prioridade número um de um invasor é obter acesso não autorizado aos sistemas. Eles fazem isso roubando o nome e as senhas dos usuários que têm acesso. O processo de autenticação inclui três etapas principais:
 

  • Identificação: normalmente, os usuários estabelecem quem são por meio de um nome de usuário.
  • Autenticação: normalmente, os usuários provam que são quem dizem ser digitando uma senha (algo que apenas o usuário deve saber), mas para fortalecer a segurança, muitas organizações também exigem que provem sua identidade com algo que possuem (um telefone ou dispositivo de token) ou algum identificador físico (impressão digital ou leitura facial).
  • Autorização: o sistema verifica se os usuários têm permissão para o sistema que estão tentando acessar.

Por que a autenticação é importante?

A autenticação é importante porque ajuda as organizações a proteger seus sistemas, dados, redes, sites e aplicativos contra ataques. Ela também ajuda os indivíduos a manter seus dados pessoais confidenciais, capacitando-os a realizar negócios, como transações bancárias ou investimentos, online com menos riscos. Quando os processos de autenticação são fracos, é mais fácil para um invasor comprometer uma conta adivinhando senhas individuais ou enganando as pessoas para que entreguem suas credenciais. Isso pode levar aos seguintes riscos:
 

  • Violação ou exfiltração de dados.
  • Instalação de malware, como ransomware.
  • Não conformidade com os regulamentos de privacidade de dados regionais ou do setor.

Como funciona a autenticação

Para as pessoas, a autenticação envolve a configuração de um nome de usuário, senha e outros métodos de autenticação, como leitura facial, impressão digital ou PIN. Para proteger as identidades, nenhum desses métodos de autenticação é salvo no banco de dados do serviço. As senhas são colocadas em forma de hash (não criptografadas) e os hashes são salvos no banco de dados. Quando um usuário insere uma senha, a senha inserida também é colocada em forma de hash e, em seguida, os hashes são comparados. Se os dois hashes corresponderem, o acesso será concedido. Para impressões digitais e leituras faciais, as informações são codificadas, criptografadas e salvas no dispositivo.

Tipos de métodos de autenticação

Na autenticação moderna, o processo de autenticação é delegado a um sistema de identidade separado e confiável, em oposição à autenticação tradicional, em que cada sistema verifica sua própria identificação. Também houve uma mudança no tipo de métodos de autenticação usados. A maioria dos aplicativos requer um nome de usuário e senha, mas como os agentes mal-intencionados ficaram mais hábeis em roubar senhas, a comunidade de segurança desenvolveu vários novos métodos para ajudar a proteger as identidades.

Autenticação baseada em senha

A autenticação baseada em senha é a forma mais comum de autenticação. Muitos aplicativos e serviços exigem que as pessoas criem senhas que usam uma combinação de números, letras e símbolos para reduzir o risco de que um agente mal-intencionado as adivinhe. No entanto, as senhas também criam desafios de segurança e usabilidade. É difícil para as pessoas inventar e memorizar uma senha única para cada uma de suas contas online, e é por isso que muitas vezes elas reutilizam as senhas. E os invasores usam muitas táticas para adivinhar ou roubar senhas ou induzir as pessoas a compartilhá-las involuntariamente. Por esse motivo, as organizações estão substituindo as senhas por outras formas mais seguras de autenticação.

Autenticação baseada em certificado

A autenticação baseada em certificado é um método criptografado que permite que dispositivos e pessoas se identifiquem para outros dispositivos e sistemas. Dois exemplos comuns são um cartão inteligente ou quando o dispositivo de um funcionário envia um certificado digital para uma rede ou servidor.

Autenticação biométrica

Na autenticação biométrica, as pessoas verificam sua identidade usando recursos biológicos. Por exemplo, muitas pessoas usam o dedo ou o polegar para entrar em seus telefones, e alguns computadores escaneiam o rosto ou a retina de uma pessoa para verificar sua identidade. Os dados biométricos também estão vinculados a um dispositivo específico, portanto, os invasores não podem usá-los sem também obter acesso ao dispositivo. Esse tipo de autenticação é cada vez mais popular porque é fácil para as pessoas, elas não precisam memorizar nada, e é difícil para agentes mal-intencionados roubarem, tornando-o mais seguro do que senhas.

Autenticação baseada em token

Na autenticação baseada em token, um dispositivo e o sistema geram um novo número exclusivo chamado TOTP (PIN de uso único por tempo limitado) a cada 30 segundos. Se os números coincidem, o sistema verifica que o usuário está com o dispositivo.

Senha de uso único

Os OTP (senha de uso único) são códigos gerados para um evento de credenciais específicas que expiram logo após serem emitidos. Elas são entregues por meio de mensagens SMS, email ou token de hardware.

Notificação por push

Alguns aplicativos e serviços usam notificações por push para autenticar usuários. Nesses casos, as pessoas recebem uma mensagem em seus telefones solicitando que aprovem ou neguem a solicitação de acesso. Como às vezes as pessoas aprovam notificações por push acidentalmente, mesmo que estejam tentando entrar nos serviços que enviaram a notificação, esse método às vezes é combinado com um método OTP. Com o OTP, o sistema gera um número único que o usuário deve inserir. Isso torna a autenticação mais resistente a phishing.

Autenticação por voz

Na autenticação por voz, a pessoa que tenta acessar um serviço recebe uma chamada telefônica, na qual é solicitada a inserir um código ou a identificar-se verbalmente.

Autenticação multifator

Uma das melhores maneiras de reduzir o comprometimento da conta é exigir dois ou mais métodos de autenticação, que podem incluir qualquer um dos métodos listados anteriormente. Uma melhor prática eficaz é exigir quaisquer dois dos seguintes itens:
 
  • Algo que o usuário sabe, geralmente uma senha.
  • Algo que o usuário possua, como um dispositivo confiável que não é facilmente duplicado, como um telefone ou um token de hardware.
  • Algum fator físico do usuário, como uma impressão digital ou uma leitura facial.
Por exemplo, muitas organizações solicitam uma senha (algo que o usuário sabe) e também enviam um OTP via SMS para um dispositivo confiável (algo que o usuário possui) antes de permitir o acesso.

Autenticação de dois fatores

A autenticação de dois fatores é um tipo de autenticação multifator que requer duas formas de autenticação.

Autenticação versus autorização

Embora a autenticação, às vezes chamada de AuthN, e a autorização, às vezes chamada de AuthZ, sejam frequentemente usadas de forma intercambiável, elas são duas coisas relacionadas, mas separadas. A autenticação confirma que o usuário que está acessando a conta é quem diz ser, enquanto a autorização confirma que ele tem as permissões corretas para acessar as informações que deseja. Por exemplo, alguém do departamento de recursos humanos pode ter acesso a sistemas confidenciais, como folha de pagamento ou arquivos de funcionários, que outras pessoas não podem ver. Tanto a autenticação quanto a autorização são essenciais para permitir a produtividade e proteger dados confidenciais, propriedade intelectual e privacidade.
 

Melhores práticas para segurança da autenticação

Como o comprometimento de contas é uma forma comum de invasores obterem acesso não autorizado aos recursos de uma empresa, é importante instituir segurança de autenticação forte. Aqui estão algumas coisas que você pode fazer para proteger sua organização:

Implementar a autenticação multifator

A coisa mais importante que você pode fazer para reduzir o risco de comprometimento da sua conta é ativar a autenticação multifator e exigir pelo menos dois fatores de autenticação. É muito mais difícil para invasores roubarem mais de um método de autenticação, especialmente se um deles for biométrico ou algo que o usuário tenha em sua posse, como um dispositivo. Para tornar o processo o mais simples possível para funcionários, clientes e parceiros, ofereça a eles a escolha de vários fatores diferentes. Embora seja importante observar que nem todos os métodos de autenticação são iguais. Alguns são mais seguros do que outros. Por exemplo, receber um SMS é melhor do que nada, mas uma notificação por push é mais segura.

Adotar o método sem senha

Depois de configurar a autenticação multifator, você pode até optar por limitar o uso de senhas e incentivar as pessoas a usar dois ou mais outros métodos de autenticação, como PIN e biometria. Reduzir o uso de senhas e ficar sem senha simplificará o processo de credenciais e reduzirá o risco de comprometimento da conta.

Aplicar proteção por senha

Além da educação dos funcionários, existem ferramentas que você pode usar para reduzir o uso de senhas fáceis de adivinhar. As soluções de proteção por senha permitem que você proíba os comumente usados, como Password1. E você pode criar uma lista personalizada específica para sua empresa ou região, como nomes de times esportivos locais ou pontos turísticos.

Habilitar a autenticação multifator baseada em risco

Alguns eventos de autenticação são indicadores de um comprometimento, como quando um funcionário tenta acessar sua rede de um novo dispositivo ou local estranho. Outros eventos de login podem não ser atípicos, mas apresentam maior risco, como quando um profissional de recursos humanos precisa acessar informações de identificação pessoal de um funcionário. Para reduzir o risco, configure sua solução de IAM (gerenciamento de identidades e acesso) para exigir pelo menos dois fatores de autenticação ao detectar esses tipos de eventos.

Priorizar a usabilidade

A segurança eficaz requer a adesão dos funcionários e outras partes interessadas. Às vezes, as políticas de segurança podem impedir que as pessoas se envolvam em atividades online arriscadas, mas se as políticas forem muito onerosas, as pessoas encontrarão uma solução alternativa. As melhores soluções acomodam o comportamento humano realista. Implante recursos como redefinição de senha self-service para eliminar a necessidade de as pessoas ligarem para o helpdesk quando esquecerem uma senha. Isso também pode incentivá-las a escolher uma senha forte, pois sabem que será fácil redefinir se a esquecerem mais tarde. Permitir que as pessoas escolham qual método de autorização preferem é outra boa maneira de facilitar o login.

Implantar logon único

Um ótimo recurso que aprimora a usabilidade e melhora a segurança é o SSO (logon único). Ninguém gosta de ser solicitado a digitar uma senha toda vez que troca de aplicativo e pode ser incentivado a usar a mesma senha em várias contas para economizar tempo. Com o logon único, os funcionários só precisam entrar uma vez para acessar a maioria ou todos os aplicativos necessários para o trabalho. Isso reduz o atrito, e permite que você aplique políticas de segurança universais ou condicionais, como autenticação multifator, a todos os softwares usados pelos funcionários.

Use o princípio de privilégio mínimo

Limite o número de contas privilegiadas com base em funções e dê às pessoas o mínimo de privilégio necessário para realizar seus trabalhos. Estabelecer o controle de acesso ajuda a garantir que menos pessoas possam acessar seus dados e sistemas mais críticos. Quando alguém precisar executar uma tarefa confidencial, use o gerenciamento de acesso privilegiado, como ativação just-in-time com durações de tempo, para reduzir ainda mais o risco. Também ajuda exigir que as atividades administrativas sejam executadas apenas em dispositivos muito seguros, separados dos computadores que as pessoas usam para tarefas diárias.

Presumir uma violação e realizar auditorias regulares

Em muitas organizações, as funções das pessoas e o status de emprego mudam regularmente. Os funcionários deixam a empresa ou mudam de departamento. Parceiros entram e saem dos projetos. Isso pode ser um problema quando as regras de acesso não acompanham o ritmo. É importante garantir que as pessoas não tenham acesso a sistemas e arquivos de que não precisam mais para o trabalho. Para reduzir o risco de um invasor obter informações confidenciais, use uma solução de governança de identidade para ajudar você a auditar as contas e funções de forma consistente. Essas ferramentas também ajudam a garantir que as pessoas tenham acesso apenas ao que precisam e que as contas das pessoas que deixaram a organização não estejam mais ativas.

Proteja as identidades contra ameaças

As soluções de gerenciamento de identidades e acesso oferecem muitas ferramentas para ajudar você a reduzir o risco de comprometimento da conta; no entanto, ainda é interessante antecipar uma violação. Até mesmo funcionários bem-educados às vezes caem em golpes de phishing. Para detectar comprometimento de conta precocemente, invista em soluções de proteção contra ameaças de identidade e implemente políticas que ajudem você a descobrir e responder a atividades suspeitas. Muitas soluções modernas, como o Microsoft Security Copilot, usam IA não apenas para detectar ameaças, mas também para responder automaticamente a elas.

Soluções de autenticação em nuvem

A autenticação é fundamental para um forte programa de segurança cibernética e para permitir a produtividade do trabalhador. Uma solução abrangente de gerenciamento de identidades e acesso baseada em nuvem, como o Microsoft Entra, fornece ferramentas para ajudar as pessoas a obter facilmente o que precisam para realizar seus trabalhos, ao mesmo tempo em que aplicam controles poderosos que reduzem o risco de invasores comprometerem uma conta e obterem acesso a dados confidenciais.
Uma mulher está olhando para o computador.

Microsoft Entra ID

Proteja sua organização com gerenciamento de identidades e acesso.
Saiba mais
Três colegas de trabalho olhando para um laptop juntos

Microsoft Entra ID Governance

Garanta automaticamente que as pessoas certas tenham o acesso adequado aos aplicativos no momento ideal.
Saiba mais
Duas jovens em um escritório iluminado pelo sol: uma com óculos trabalha no laptop; a outra, de jaqueta jeans, sorri olhando o celular.

ID Verificada do Microsoft Entra

Descentralize suas identidades com um serviço gerenciado de credenciais verificáveis baseado em padrões abertos.
Saiba mais
colegas de trabalho revisando o trabalho em monitores

ID de carga de trabalho do Microsoft Entra

Gerencie e proteja os identificadores concedidos a aplicativos e serviços.
Saiba mais
Voltar à seção Produtos relacionados
Perguntas frequentes

Perguntas frequentes

  • Há muitos tipos diferentes de autenticação. Alguns exemplos são:
    • Muitas pessoas entram em seus telefones usando reconhecimento facial ou impressão digital. 
    • Bancos e outros serviços geralmente exigem que as pessoas entrem usando uma senha e um código que é enviado automaticamente por SMS. 
    • Algumas contas exigem apenas um nome de usuário e uma senha, embora muitas organizações estejam adotando a autenticação multifator para aumentar a segurança.
    • Os funcionários geralmente entram em seus computadores e obtêm acesso a vários aplicativos diferentes ao mesmo tempo, o que é conhecido como logon único.
    • Também há contas que permitem aos usuários entrar usando uma conta do Facebook ou do Google. Nesse caso, o Facebook, o Google ou a Microsoft são responsáveis ​​por autenticar o usuário e passar a autorização para o serviço que o usuário quer acessar.
  • A autenticação na nuvem é um serviço que confirma que apenas as pessoas e os aplicativos certos, com as permissões corretas, podem obter acesso às redes e aos recursos da nuvem. Muitos aplicativos de nuvem têm autenticação integrada baseada na nuvem, mas também há soluções mais amplas, como o Microsoft Entra ID, que são projetadas para lidar com autenticação em vários aplicativos e serviços de nuvem. Essas soluções normalmente usam o protocolo SAML para permitir que um serviço de autenticação funcione em várias contas.
  • Embora a autenticação e a autorização sejam frequentemente usadas de forma intercambiável, elas são duas coisas relacionadas, mas separadas. A autenticação confirma que o usuário que está acessando a conta é quem diz ser, enquanto a autorização confirma que ele tem as permissões corretas para acessar as informações que deseja. Usadas juntas, a autenticação e a autorização ajudam a reduzir o risco de um invasor obter acesso a dados confidenciais.
  • A autenticação é usada para verificar se as pessoas e entidades são quem dizem ser antes de fornecer acesso a recursos e redes digitais. Embora o objetivo principal seja a segurança, as soluções de autenticação modernas também são projetadas para melhorar a usabilidade. Por exemplo, muitas organizações implementam soluções de logon único a fim de simplificar a busca dos funcionários pelo o que precisam para realizar seus trabalhos. Os serviços ao consumidor geralmente permitem que as pessoas entrem usando as contas do Facebook, Google ou Microsoft para acelerar o processo de autenticação.

Siga a Segurança da Microsoft

Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar os produtos da Microsoft Aplicativos do Windows 11 Perfil da conta Centro de Download Suporte da Microsoft Store Devoluções Acompanhamento de pedidos Microsoft Education Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Education Office Education Treinamento e desenvolvimento de educadores Ofertas para estudantes e pais Azure para estudantes
IA da Microsoft Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desenvolvedor Microsoft Microsoft Learn Suporte para aplicativos de marketplace de IA Comunidade Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Carreiras Sobre a Microsoft Notícias da empresa Privacidade na Microsoft Investidores Diversidade e inclusão Acessibilidade Sustentabilidade
Português (Brasil) Privacidade dos Dados de Saúde do Consumidor Entre em contato com a Microsoft Privacidade Gerenciar cookies Ética e Compliance Nota Legal Marcas Sobre os nossos anúncios

Microsoft do Brasil Importação e Comércio de Software e Vídeo Games Ltda., com sede na cidade de São Paulo, Estado de São Paulo, na Avenida Presidente Juscelino Kubitschek, nº 1.909, conjunto 181, localizado no 18º andar da Torre Sul SP Corporate Towers, Vila Nova Conceição, CEP 04543-907, inscrita no CNPJ sob o nº 04.712.500/0001-07.