O Que É Autenticação de Dois Fatores e Por Que Você Deve Usá-la?

Uma das preocupações alarmantes nos dias de hoje, onde os dados são o novo petróleo, é a possibilidade de ter contas online comprometidas ou perder o acesso a elas completamente. Embora vários fatores possam ser atribuídos a essa preocupação, o mais significativo de todos é a falta de segurança adequada, que pode ser dividida em negligência e práticas de segurança inadequadas que a maioria dos usuários acaba seguindo, intencionalmente ou não.

Uma maneira de sair dessa situação é habilitar a 2FA (autenticação de dois fatores) em todas as suas contas para fortalecer sua segurança. Dessa forma, mesmo que sua senha seja vazada/hackeada, sua conta ainda não estará acessível até que seja validada pelo segundo fator (token de verificação 2FA).

Mas, como se vê, muitas pessoas não parecem estar aproveitando a 2FA ou estão alheias à sua existência. Portanto, para simplificar as coisas, aqui está um guia sobre autenticação de dois fatores com respostas para algumas das perguntas mais comuns sobre a 2FA.

O Que É Autenticação de Dois Fatores (2FA)?

A autenticação de dois fatores ou 2FA é um tipo de mecanismo de autenticação multifatorial (MFA) que adiciona uma camada extra de segurança à sua conta—um segundo fator, no caso da 2FA—para autenticar seus logins.

Idealmente, quando você faz login em uma conta usando seu nome de usuário e senha, a senha serve como seu primeiro fator de autenticação. E é somente após o serviço verificar que a senha inserida está correta que ele permite que você acesse sua conta.

Um dos problemas com essa abordagem é que não é a mais segura: se alguém conseguir sua senha de conta, pode facilmente fazer login e usar sua conta. É exatamente aqui que a necessidade de um segundo fator entra em jogo.

Um segundo fator, que pode ser configurado de algumas maneiras diferentes, adiciona uma camada adicional de autenticação à sua conta no momento do login. Com ele habilitado, quando você insere a senha correta para sua conta, é necessário inserir o código de verificação, válido por um período de tempo limitado, para verificar sua identidade. Após a verificação bem-sucedida, você recebe acesso à conta.

Dependendo do serviço que implementa o mecanismo, a 2FA às vezes também pode ser chamada de verificação em duas etapas (2SV), como no caso do Google. No entanto, além da diferença de nome, o princípio de funcionamento por trás de ambos permanece o mesmo.

Também no TechPP

Como Habilitar a Autenticação de Dois Fatores no Facebook, Instagram e TwitterLeia Mais

Como Funciona a Autenticação de Dois Fatores (2FA)?

Como mencionado na seção anterior, a autenticação de dois fatores envolve o uso de um segundo fator (além do primeiro fator: senha) para completar uma verificação de identidade no momento do login.

Para isso, aplicativos e serviços que implementam a 2FA exigem pelo menos dois dos seguintes fatores (ou peças de evidência) a serem verificados pelo usuário final antes que ele possa fazer login e começar a usar um serviço:

i. Conhecimento – algo que você sabe
ii. Posse – algo que você tem
iii. Inerência – algo que você é

Para lhe dar uma ideia melhor do que constitui esses diferentes fatores, na maioria dos cenários, o fator Conhecimento pode ser, digamos, sua senha ou PIN da conta, enquanto o fator Posse pode incluir algo como uma chave de segurança USB ou um token gerador de autenticação, e o fator Inerência pode ser suas biometria: impressão digital, retina, etc.

Uma vez que você tenha a 2FA configurada e funcionando em qualquer uma de suas contas, você deve inserir qualquer um dos dois fatores de verificação, entre Posse e Inerência, além do fator Conhecimento, para verificar sua identidade no serviço no momento do login.

Então, dependendo do que você deseja proteger e do serviço que está usando, você tem duas opções para escolher seu mecanismo de autenticação secundário preferido. Você pode usar Posse: qualquer chave de segurança física ou um aplicativo gerador de códigos em seu smartphone, que fornece um token de uso único que você pode usar para verificar sua identidade. Ou você pode confiar em Inerência: verificação facial e similares, conforme fornecido por alguns dos serviços atualmente, como um segundo fator de verificação de segurança para sua conta.

Também no TechPP

Como Habilitar a Autenticação de Dois Fatores na Sua Conta do GoogleLeia Mais

A Autenticação de Dois Fatores É À Prova de Falhas? Existem Desvantagens em Usar a 2FA?

Agora que você tem uma compreensão do que é a autenticação de dois fatores e como funciona, vamos dar uma olhada mais de perto em sua implementação e nas desvantagens (se houver) de usá-la em sua conta.

Para começar, embora o consenso sobre o uso da autenticação de dois fatores entre a maioria dos especialistas seja, em grande parte, positivo e incentive as pessoas a habilitar a 2FA em suas contas, certamente existem algumas falhas na implementação do mecanismo que impedem que ele seja uma solução à prova de falhas.

Essas falhas (ou melhor, vulnerabilidades) são principalmente resultado de uma má implementação da 2FA pelos serviços que as utilizam, que pode, por si só, ser falha em vários níveis.

Para lhe dar uma ideia de uma implementação fraca (leia-se ineficaz) da 2FA, considere um cenário em que você tem a 2FA habilitada em sua conta usando seu número de celular. Nesse setup, o serviço envia um OTP por SMS que você deve usar para verificar sua identidade. No entanto, como o segundo fator é enviado pelo operador nessa situação, ele está sujeito a vários tipos de ataques e, portanto, não é seguro por si só. Como resultado, tal implementação pode não ser tão eficaz quanto deveria ser para proteger sua conta.

Além do cenário acima, existem várias outras situações em que a 2FA pode ser vulnerável a todos os tipos de ataques. Algumas dessas situações incluem casos em que um site/aplicativo que incorpora o mecanismo: tem uma implementação distorcida para verificação de token; carece de um limite de taxa que pode permitir que alguém brute-force seu caminho para dentro da conta; permite que o mesmo OTP seja enviado repetidamente; depende de controle de acesso inadequado para códigos de backup, entre outros. Todos esses podem levar a vulnerabilidades que podem permitir que alguém—com o conhecimento e habilidades adequados—encontre uma maneira de contornar o mecanismo de 2FA mal implementado e obtenha acesso à conta alvo.

Da mesma forma, outro cenário em que a 2FA pode ser problemático é quando você a usa de forma negligente. Por exemplo, se você tiver a autenticação de dois fatores habilitada em uma conta usando um aplicativo gerador de códigos e decidir mudar para um novo dispositivo, mas esquecer de mover o aplicativo autenticador para o novo telefone, você pode ser bloqueado completamente de sua conta. E, por sua vez, você pode acabar em uma situação em que pode ser difícil recuperar o acesso a tais contas.

Mais uma situação em que a 2FA pode às vezes prejudicá-lo é quando você usa SMS para obter seu token de 2FA. Nesse caso, se você estiver viajando e se mudar para um lugar com conectividade ruim, pode acabar não recebendo o token de uso único via SMS, o que pode tornar sua conta temporariamente inacessível. Sem mencionar que você muda de operadora e ainda tem o antigo número de celular vinculado a diferentes contas para 2FA.

Também no TechPP

Use seu smartphone Android como Chave de Segurança para Autenticação de Dois Fatores [Guia]Leia Mais

No entanto, com tudo isso dito, há um fator crucial em jogo aqui, que é que, como a maioria de nós é usuário médio da internet e não usa nossas contas para casos de uso questionáveis, não é muito provável que um hacker alvo nossas contas como potenciais ataques. Uma das razões óbvias para isso é que uma conta de um usuário médio não é atraente o suficiente e não oferece muito para alguém gastar seu tempo e energia realizando um ataque.

Em tal cenário, você acaba obtendo o melhor da segurança da 2FA, em vez de se deparar com algumas de suas desvantagens extremas, como mencionado anteriormente. Em resumo, as vantagens da 2FA superam as desvantagens para a maioria dos usuários—desde que você a utilize com cuidado.

Por Que Você Deve Usar a Autenticação de Dois Fatores (2FA)?

À medida que nos inscrevemos em mais e mais serviços online, estamos, de certa forma, aumentando as chances de ter nossas contas comprometidas. A menos, é claro, que haja verificações de segurança em vigor para garantir a segurança dessas contas e manter as ameaças afastadas.

Nos últimos anos, violações de dados de alguns dos serviços populares (com uma enorme base de usuários) vazaram toneladas de credenciais de usuários (endereços de e-mail e senhas) online, o que colocou a segurança de milhões de usuários em todo o mundo em risco, permitindo que um hacker (ou qualquer pessoa com o conhecimento necessário) usasse as credenciais vazadas para acessar essas contas.

Embora isso por si só seja uma grande preocupação, as coisas ficam piores quando essas contas não têm autenticação de dois fatores em vigor, pois isso torna todo o processo direto e não sofisticado para um hacker. Assim, permitindo uma fácil tomada de conta.

No entanto, se você empregar a autenticação de dois fatores em sua conta, você acaba com uma camada extra de segurança, que é difícil de contornar, uma vez que usa o fator Posse (algo que só você tem)—um OTP ou token gerado por aplicativo/fob—para verificar sua identidade.

Na verdade, contas que exigem um passo extra para acessar geralmente não são as que estão no radar dos atacantes (especialmente em ataques em larga escala) e, portanto, são, comparativamente, mais seguras do que aquelas que não empregam a 2FA. Dito isso, não se pode negar o fato de que a autenticação de dois fatores adiciona um passo extra no momento do login. No entanto, a segurança e a tranquilidade que você obtém em troca são indiscutivelmente valiosas.

Também no TechPP

6 Hábitos Tecnológicos que Você Deve Tentar Adotar Este Ano

O cenário mencionado acima é apenas um dos muitos diferentes casos em que ter a 2FA habilitada em sua conta pode se mostrar benéfico. Mas, dito isso, vale a pena mencionar novamente que, embora a 2FA adicione à segurança da sua conta, ela também não é uma solução à prova de falhas e, portanto, precisa ser implementada corretamente pelo serviço; sem mencionar a configuração adequada por parte do usuário, que deve ser feita com cuidado (fazendo um backup de todos os códigos de recuperação) para que o serviço funcione a seu favor.

Como Implementar a Autenticação de Dois Fatores (2FA)?

Dependendo da conta que você deseja proteger com a autenticação de dois fatores, você deve seguir um conjunto de etapas para habilitar a 2FA em sua conta. Seja em alguns dos populares sites de redes sociais como Twitter, Facebook e Instagram; serviços de mensagens como WhatsApp; ou até mesmo sua conta de e-mail; esses serviços oferecem a capacidade de habilitar a 2FA para melhorar a segurança da sua conta.

Na nossa opinião, embora usar senhas fortes e únicas para todas as suas diferentes contas seja rudimentar, você não deve ignorar a autenticação de dois fatores, mas sim aproveitar isso se um serviço fornecer a funcionalidade—especialmente para sua conta do Google, que está vinculada à maioria de suas outras contas como uma opção de recuperação.

Falando sobre o melhor método para habilitar a autenticação de dois fatores, uma das maneiras mais seguras é usar uma chave de hardware que gera código em intervalos fixos. No entanto, para um usuário médio, aplicativos geradores de código de empresas como Google, LastPass e Authy devem funcionar perfeitamente bem também. Além disso, hoje em dia, você encontra certos gerenciadores de senhas que oferecem tanto um cofre quanto um gerador de tokens, o que torna ainda mais conveniente para alguns.

Embora a maioria dos serviços exija um conjunto semelhante de etapas para habilitar a autenticação de dois fatores, você pode conferir nosso guia sobre como habilitar a 2FA em sua conta do Google e em outros sites de redes sociais para descobrir como configurar corretamente a segurança de autenticação de dois fatores em sua conta. E enquanto você faz isso, certifique-se de ter uma cópia de todos os códigos de backup para que você não fique bloqueado de sua conta caso não receba tokens ou perca o acesso ao gerador de tokens.