A MAIOR PROMOÇÃO DO ANO! Compartilhe a alegria dos logins seguros.
0dias
0horas
0min
0s

AUTENTICAÇÃO

Autenticação e autorização

Autenticação e autorização são dois processos diferentes que podem ser combinados para aprovar o acesso de usuários, proteger sua empresa contra acessos não autorizados e estabelecer uma solução de gerenciamento de identidade e de acesso (IAM).

Experimentar o Business Max gratuitamente
Request demo

Não é preciso informar nenhum cartão de crédito para experimentar. Após o período de avaliação, o LastPass Business custa US$ 7 por usuário/mês.

O que é autenticação de usuários?

Autenticação é um dos vários processos de cibersegurança que uma empresa pode utilizar para se proteger contra acessos não autorizados. Autenticação de usuários é uma forma de confirmar a identidade de um usuário antes de conceder a ele acesso a um aplicativo, estação de trabalho, ferramenta local ou VPN. O usuário confirma sua identidade apresentando um token de segurança ao servidor ou cliente do provedor.

Tipos de métodos de autenticação de usuários

  1. Autenticação de dois fatores: é uma forma de autenticação de usuários que acontece após um login bem-sucedido feito com a combinação de nome de usuário e senha ou via logon único. A autenticação de dois fatores abrange métodos como senhas de uso único (OTP, na sigla em inglês), mensagens de SMS, notificações push no celular e token de acesso (dispositivos como a YubiKey).
  2. Autenticação multifator (MFA): a autenticação multifator (MFA, na sigla em inglês) acrescenta etapas à autenticação de dois fatores. Ela impõe etapas extras com os métodos já citados, por exemplo: informar uma senha, um token de acesso, como uma OTP, e mais um fator, como um token físico (por exemplo, uma YubiKey).
  3. Autenticação biométrica: a MFA biométrica confirma a identidade do usuário com base em atributos físicos, como reconhecimento facial ou impressão digital.
  4. MFA contextual: um método avançado de autenticação que confirma a identidade do usuário com base em identificadores relativos, como geolocalização, o endereço IP da solicitação de acesso e períodos do dia. Tomemos a geolocalização como exemplo. Se a empresa sabe que você mora e trabalha em São Paulo, e alguém de Teresina solicita acesso à sua conta, o cliente recusará o acesso, pois o sistema reconhecerá essa solicitação como um acesso não autorizado.
  5. Logon único (SSO): tecnicamente, o logon único (SSO, na sigla em inglês) é um tipo de autenticação. Falamos sobre MFA e SSO como processos separados pelo fato de serem diferentes. O SSO é um tipo de autenticação relacionado a um provedor federado de identidade. Ele estabelece a identidade de um usuário ― normalmente por um token de identidade, como um JSON Web Token (JWT), gerado pelo provedor de identidade ― que é passado para o cliente para fins de aprovação do acesso. Como o usuário já fez login no provedor (ou seja, o domínio central), a identidade dele é autenticada pelo token de identidade, e o aplicativo concede o acesso.

O que é autorização?

Enquanto a autenticação é a chave que concede acesso a uma ferramenta ou aplicativo web, o processo de autorização engloba vários níveis de acesso que decide se um determinado usuário tem permissão para acessar informações sensíveis. O armazenamento em nuvem é um exemplo onde há implementação de autorização, pois os administradores da conta podem impor requisitos que limitam o acesso e as ações possíveis em relação a documentos.  

Um exemplo comum é o OneDrive da Microsoft, onde os administradores de arquivos podem compartilhar documentos com outros usuários, mas não conseguem controlar:

  • Quem pode acessar um determinado documento;
  • Se o documento é editável ou somente leitura;
  • Quem na organização tem direitos de edição;
  • Se é possível compartilhar o documento com outras pessoas;
  • Se o documento pode ser compartilhado com uma equipe, com a organização ou fora dela.

Os quatro tipos de autorização

  1. Controle de acesso baseado em atributos (ABAC): a melhor descrição para o controle de acesso baseado em atributos (ABAC, na sigla em inglês) é que se trata de uma autorização de acesso de usuários baseada em políticas. Ele identifica as permissões do usuário antes de aprovar a autorização, geralmente verificando a identidade do usuário, o recurso que ele deseja acessar, a ação que ele deseja executar e o ambiente em que o acesso está sendo solicitado. O acesso é concedido se o usuário atender a todas as permissões.
  2. Controle de acesso discricionário (DAC): o controle de acesso discricionário (DAC, na sigla em inglês) verifica as permissões de acesso de um grupo ou de um usuário específico. O DAC é uma maneira rápida e segura de autorizar usuários com base em afiliação a grupos ou na identidade do usuário.
  3. Controle de acesso obrigatório (MAC): em vez de avaliar a afiliação a um grupo ou a identidade do usuário, o controle de acesso obrigatório (MAC, na sigla em inglês) autoriza o usuário no nível do sistema operacional. O MAC define o nível de acesso a um sistema para evitar violações graves de dados.
  4. Controle de acesso baseado em função (RBAC): o controle de acesso baseado em função (RBAC, na sigla em inglês) é um tipo de autorização que combina as qualidades do DAC e do MAC. Ele define o acesso a arquivos e sistemas com base na função e nas permissões do usuário, restringindo o acesso a funções organizacionais específicas.

No LastPass Business, o acesso a itens específicos ou a pastas compartilhadas do cofre pode se basear em atributos dos usuários, como departamento, função ou nível hierárquico. Por exemplo, registros financeiros só podem ser acessados por usuários do departamento financeiro, enquanto credenciais de TI só podem ser acessadas pela equipe de TI.

Autenticação e autorização

O mercado oferece diversos sistemas de autenticação, assim como há vários tipos de autorização disponíveis para empresas. Mesmo assim, líderes corporativos acreditam que devem escolher apenas uma opção: autenticação ou autorização.  

Mas isso não é verdade, pois é possível combinar autorização e autenticação em perfeita harmonia. A autenticação confirma que os usuários são quem dizem ser, validando a identidade deles. Já a autorização concede a usuários autenticados a permissão para acessar um determinado recurso. Quando combinados, esses métodos de proteção fortalecem cada ponto de entrada da empresa, garantindo que todos os dados permaneçam em segurança.

Com o LastPass, sua empresa conta com autenticação e políticas de autorização, dando origem a uma solução completa de identidade.  

Diferença Autenticação Autorização
Foco
 A autenticação tem como foco a verificação de identidade.
 A autorização tem como foco a concessão ou rejeição de acesso a recursos com base na identidade verificada e em permissões.
Sequência A autenticação ocorre antes da autorização.
 O usuário precisa ser autenticado para poder acessar os recursos.
Perguntas respondidas
 “Quem é você?”
 “O que você tem permissão para fazer?”
Exemplos no LastPass
  • Combinação de nome de usuário e senha.
  • Políticas multifator.
  • Face ID, Touch ID, tokens de segurança.
  • Políticas contextuais.
  • Logon único.
  • Regras de senha.
  • Políticas de restrição de conta.
  • Pastas compartilhadas.
  • Tipo de usuário e grupo.

Faça autenticações e autorizações sem senhas

Durante o processo de desenvolvimento da infraestrutura de segurança da empresa, os administradores de gerenciamento de identidade e de acesso (IAM, na sigla em inglês) precisam compreender a fundo o funcionamento de cada recurso, como a autenticação multifator, o logon único e os controles de acesso baseados em função. Embora esse processo pareça ser complexo, o LastPass pode ajudar ao oferecer uma solução de cibersegurança inteligente e descomplicada.

  • Incorpore fatores biométricos e de autenticação contextual para intensificar a segurança da sua empresa.
  • Ofereça a colaboradores presenciais, remotos e clientes uma experiência de autenticação sem senhas.
  • Faça a autenticação de usuários de maneira integrada em todos os dispositivos, sem atrapalhar o fluxo de trabalho nem a produtividade.
  • Proteja todos os pontos de acesso, da nuvem aos aplicativos locais, VPNs e espaços de trabalho, para garantir o sucesso da autenticação.
  • Garanta que os dados biométricos sejam criptografados no nível do dispositivo e permaneçam no dispositivo do usuário para oferecer mais privacidade e segurança.
  • Ofereça personalização para aproveitar diversos métodos de MFA no controle de acesso no nível de grupos ou de usuários.
  • Ofereça uma lista centralizada de políticas minuciosas para controlar os direitos de acesso no nível individual, grupal e organizacional.
  • Poupe tempo e dinheiro com um processo simples de implantação que dispensa serviços profissionais.
  • Automatize o provisionamento com diretórios de usuários, como o Microsoft AD e o Microsoft Entra ID, facilitando as configurações e minimizando o gerenciamento.
  • Oferece diversos protocolos de autenticação e planos de autorização para atender a todos os tamanhos de empresa, necessidades de segurança e orçamentos.

Veja o LastPass Business em ação

Solicitar uma demonstração

Conheça outros recursos do LastPass

icon-xs-light_illustrative_password-generator-svg

Compartilhamento de senhas empresariais

Compartilhe senhas empresariais de forma segura com membros da equipe, freelancers e fornecedores.


Explore o compartilhamento de senhas empresariais

Gerenciamento de usuários

Controle a segurança, as contas e as políticas da sua empresa em uma única plataforma.


Explore o gerenciamento de usuários

icon-xs-light_illustrative_dark-web-monitoring-radar-svg

Autenticação multifator (MFA)

Intensifique a segurança exigindo métodos extras de verificação após a inserção das credenciais de login.

Conheça a MFA

Perguntas frequentes

Autenticação e autorização são dois processos diferentes que podem ser combinados para aprovar o acesso de usuários e proteger sua empresa contra acessos não autorizados.

A autenticação é um processo que confirma se um usuário que está solicitando acesso é mesmo quem ele diz ser. Entre os métodos comuns de autenticação, estão responder a uma pergunta de segurança que só o usuário saberia responder ou apresentar dados biométricos (uma impressão digital) para confirmar a identidade.

A autorização determina se o usuário pode executar uma ação, como acessar um recurso, editar dados ou ver um documento. Pense nela como um ponto de verificação: mesmo após passar pela segurança de um evento particular (autenticação), ainda é preciso ter permissão para entrar no camarote VIP (autorização).

Ao usar o LastPass, sua empresa conta com uma ferramenta independente de SaaS que se integra às tecnologias já existentes tanto para autenticar quanto para autorizar os usuários.

A identificação faz parte de um processo em que você literalmente se identifica informando seu nome, e-mail, documento de identidade etc.

Já a autenticação é o processo pelo qual você confirma a sua identidade. Para isso, você informa algo que só alguém com a sua identidade sabe ou tem: uma senha, impressão digital ou acesso a seu celular, por exemplo.

Por fim, a autorização é o processo que determina se você tem aprovação para acessar um recurso ou sistema. Por exemplo, se um administrador/responsável concedeu a você o direito de ver, acessar ou editar um documento.

Normalmente, uma pessoa se identifica, passa pela autenticação e, por fim, recebe a autorização. Por exemplo, ao fazer login em um sistema para acessar um recurso:

  • Você informa seu nome de usuário (identificação) e senha (primeira etapa da autenticação);
  • Você apresenta sua impressão digital (uma etapa da autenticação multifator para comprovar sua identidade).
  • Por fim, o cliente fará a autorização em relação à sua identidade, ao documento que você está tentando acessar e à ação que você deseja executar. Se as permissões do usuário forem aprovadas em todos os casos, o acesso dele é concedido.

Há várias maneiras de adotar um método de autenticação, como SSO, acrescido do processo de autorização que vem a seguir, que pode ser OpenID Connect, SAML, entre outros.

É muito comum ouvir falar de OAuth no mundo da cibersegurança. SAML é como o OAuth, no sentido de que ambos os protocolos podem ser usados para SSO web, embora atendam a propósitos diferentes: enquanto o SAML é geralmente usado por usuário, em relação a um diretório de usuários, o OAuth é mais utilizado para aplicativos e dispositivos específicos.

Assim, o OAuth costuma ser utilizado para autorização, enquanto o OAuth 2.0 é o atual protocolo padrão para autorização. O OAuth 2.0 oferece autorização clara e específica para aplicativos desktop, celulares, tablets, aplicativos nativos e aplicativos web, sendo geralmente executado por meio da atribuição e gerenciamento de tokens de acesso.

A autenticação de usuários é importante para qualquer empresa por ser um jeito simples de se proteger contra acessos não autorizados e possíveis violações de dados. Quando combinada com a autorização de usuários, a autenticação estabelece direitos de acesso que garantem que apenas usuários verificados possam acessar recursos protegidos.

Pelo processo de autenticação, os administradores podem confirmar a identidade dos usuários que tentam acessar sistemas internos, aplicativos de trabalho, documentos, entre outras coisas. Os tipos de autenticação, como PINs únicos, códigos recebidos por SMS e autenticação biométrica, garantirão que apenas usuários autenticados recebam acesso, proporcionando acesso seguro a todos os terminais da empresa.

Não esclareceu sua dúvida? Acesse a Central de Suporte.

Primeiros passos com o LastPass para empresas

Experimente o LastPass gratuitamente Fale com a equipe de vendas
Não é preciso informar nenhum cartão de crédito para ter acesso ao período de avaliação de 14 dias.