Você conhece os níveis de garantia de autenticação (AAL) definidos pelo NIST?

Authenticator Assurance Levels (AAL)

A publicação da Diretriz de Identidades Digitais, NIST SP 800-63B, do NIST (National Institute of Standards and Technology) de 2017,  define diretrizes técnicas de diversos aspectos da identidade, segmentando em 3 itens: Nível de confiança da identidade (IAL), da federação (FAL) e da autenticação digital (AAL), substituindo assim o Level of Assurance (LOA). Para esse artigo, focaremos no aspecto da autenticação digital, no qual o NIST define uma estrutura de "Authenticator Assurance Levels (AAL)", que define níveis de confiança da autenticação de identidades digitais no sistema. 

O NIST define a autenticação como o “processo de determinação da validade de um ou mais autenticadores usados ​​para reivindicar uma identidade digital”. Nesse sentido, a autenticação fornece a garantia de validação que o indivíduo que está tentando realizar o acesso em um serviço ou realizar alguma transação online possui o autenticador válido. O grau de confiança de validação de que o indivíduo possui o autenticador válido é chamado de "Authenticator Assurance Levels (AAL)" e é dividido em três níveis:

1. AAL1 (Baixa garantia): Baseado em fatores de autenticação de algo que se sabe, como senhas.

2. AAL2 (Média garantia): Envolve autenticação por múltiplos fatores, como senhas (algo que se sabe) combinadas com um OTP de verificação por aplicativo (algo que se tem). Vale lembrar que para ser um AAL2, é necessário o uso de múltiplo fator, ou seja, a utilização de uma senha e uma pergunta de segurança não seria AAL2 pois teriam o mesmo fator: algo que se sabe.

3. Vale destacar que embora o OTP por SMS seja algo que se tem, não é um canal recomendado de recebimento, visto que é suscetível a ataques como o SIM SWAP. Por isso o NIST desencoraja fortemente seu uso.

4. AAL3 (Alta garantia): Utiliza pelo menos um duplo fator de autenticação e proteção contra duplicação e violação/adulteração por invasores com alto potencial de ataque, por exemplo, chave criptográfica em token físico (hardware) resistente a adulteração + PIN + biometria.

A seguir, temos uma tabela elaborada pela Cyberark, que resume os autenticadores e critérios por AAL.

Se você quer validar qual o nível de AAL em uma combinação específica de fatores, a Cyberark possui o 'MFA Calculator', que permite essa verificação de maneira dinâmica e rápida. Você pode encontrar através desse link.

Além disso, a Okta possui uma publicação no qual classifica o nível de cada tipo de autenticação. Você pode encontrar através desse link.

Autenticação utilizando Biometria

As diretrizes do NIST permitem o uso da biometria, porém com algumas limitações e ressalvas, visto que a taxa de correspondência falsa (FMR) ou a taxa de aceitação falsa (FAR) e a taxa de não correspondência (FNMR) ou a taxa de rejeição falsa (FRR) associadas à biometria não fornecem o nível preciso de confiança durante a autenticação, além da comparação biométrica ser probabilística e não determinística. Outro aspecto importante é que os recursos biométricos também não são considerados 'segredos', pois muitas vezes podem ser obtidos tirando uma foto, em alta resolução e burlando equipamentos de reconhecimento facial ou digitalização da íris, por exemplo - embora já existam maneiras de mitigar esse problema.

Assim, as diretrizes do NIST só permitem o uso de biometria para autenticação quando fortemente vinculado a um autenticador físico.

Autenticação Adaptativa

A autenticação adaptativa é uma opção que eleva ainda mais o nível de segurança na autenticação, no qual se aproveita de informações do contexto para validar a autenticação ou reduzir o nível de critérios a depender do contexto e assim, reduzir o atrito com o usuário. Com esse recurso é possível utilizar informações como contexto do dispositivo, contexto do usuário, contexto de localização e contexto de rede para calcular uma pontuação de risco. Isto pode ser utilizado para validar a autenticação ou determinar quais fatores o usuário precisa utilizar para autenticar. Por exemplo: se uma autenticação é feita em um dispositivo já conhecido, em um horário permitido e em um endereço IP permitido, pode-se configurar para que os fatores de autenticação seja reduzido, como: ao invés de exigir o token físico, solicite apenas o PIN e biometria facial.

Portanto, os sistemas de autenticação adaptativos são excelentes para aprimorar a experiência do usuário final em relação à MFA, visto que reduz atrito no acesso. Eles garantem que as decisões de autenticação sejam enriquecidas por uma análise mais profunda do comportamento do usuário, frequentemente conduzida por meio de aprendizado de máquina.

Vale destacar que essas soluções não são consideradas autenticadores válidos pelo NIST por si só (pois não são 'segredos'), mas a autenticação adaptativa têm se tornado essencial na arquitetura Zero Trust.

Conclusão

A publicação do NIST de Diretriz de Identidades Digitais do NIST, embora seja de 2017, ainda é muito atual visto que há muito que se amadurecer na aplicabilidade de autenticação forte no mundo corporativo. Ao mesmo tempo, essa publicação revela que novos fatores precisam ser considerados para elevar ainda mais o nível de autenticação, como a Autenticação Adaptativa, que combinada com o AAL2 ou AAL3 torna a autenticação ainda mais segura. O fato é que não existe um modelo de autenticação padrão. É necessário avaliar cada contexto para tomar a decisão da combinação ideal, porém é recomendado que seja aplicado minimamente o AAL2 na autenticação digital.

Referências

https://csrc.nist.gov/glossary/term/authenticator_assurance_level 

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf 

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-76-2.pdf 

https://www.cyberark.com/resources/blog/nist-800-63-b-authentication-and-lifecycle-management-guidelines