O que é autenticação de dois fatores e por que você precisa usá-la?

Um dos pensamentos assustadores nos dias de hoje, onde os dados são o novo petróleo, é a preocupação de comprometer as contas online ou perder o acesso a elas completamente. Embora vários fatores possam ser atribuídos a essa preocupação, o mais significativo de todos é a falta de segurança adequada, que pode ser dividida em negligência e más práticas de segurança que a maioria dos usuários de forma deliberada/inadvertida acaba seguindo.

Uma maneira de sair dessa situação é habilitar o 2FA (autenticação de dois fatores) em todas as suas contas para fortalecer sua segurança. Dessa forma, mesmo que sua senha seja vazada/hackeada, sua conta ainda não estará acessível até que seja validada pelo segundo fator (token de verificação 2FA).

Mas, como se vê, muitas pessoas não parecem estar aproveitando o 2FA ou ignoram sua existência. Então, para simplificar as coisas, aqui está um guia sobre autenticação de dois fatores com respostas para algumas das perguntas mais comuns sobre 2FA.

O que é autenticação de dois fatores (2FA)?

A autenticação de dois fatores ou 2FA é um tipo de mecanismo de autenticação multifator (MFA) que adiciona uma camada extra de segurança à sua conta - um segundo fator, no caso de 2FA - para autenticar seus logins.

Idealmente, quando você faz login em uma conta usando seu nome de usuário e senha, a senha serve como seu primeiro fator de autenticação. E é somente depois que o serviço verifica se a senha digitada está correta que ele permite que você acesse sua conta.

Um dos problemas com essa abordagem é que ela não é a mais segura: se alguém conseguir a senha da sua conta, poderá facilmente fazer login e usar sua conta. É precisamente aqui que entra em jogo a necessidade de um segundo fator.

Um segundo fator, que pode ser configurado de algumas maneiras diferentes, adiciona uma camada adicional de autenticação à sua conta no momento do login. Com ele ativado, ao inserir a senha correta para sua conta, é necessário digite o código de verificação, válido por um período de tempo limitado, para verificar sua identidade. Após a verificação bem-sucedida, você recebe acesso à conta.

Dependendo do serviço que implementa o mecanismo, a 2FA às vezes também pode ser tratada como verificação em duas etapas (2SV), como no caso do Google. No entanto, além da diferença de nome, o princípio de trabalho por trás de ambos permanece o mesmo.

Como funciona a autenticação de dois fatores (2FA)?

Conforme mencionado na seção anterior, a autenticação de dois fatores envolve o uso de um segundo fator (além do primeiro fator: senha) para concluir uma verificação de identidade no momento do login.

Para fazer isso, os aplicativos e serviços que implementam a 2FA exigem que pelo menos dois dos seguintes fatores (ou evidências) sejam verificados pelo usuário final antes que ele possa fazer login e começar a usar um serviço:

eu. Conhecimento – algo que você conhece
ii. Posse – algo que você tem
iii. Inerência – algo que você é

Para dar uma ideia melhor do que constitui esses diferentes fatores, na maioria dos cenários, o fator Conhecimento pode ser, digamos, a senha ou PIN da sua conta, enquanto o fator Posse pode incluir algo como uma chave de segurança USB ou um autenticador fob, e a Inerência fator pode ser sua biometria: impressão digital, retina, etc.

Depois de configurar e executar o 2FA em qualquer uma de suas contas, você deverá inserir um dos dois fatores de verificação, entre Posse e Inerência , além do fator Conhecimento , para verificar sua identidade no serviço no momento da Conecte-se.

Então, dependendo do que você deseja proteger e do serviço que está usando, você tem duas opções para escolher seu segundo mecanismo de autenticação preferido. Você pode usar Posse : qualquer chave de segurança física ou um aplicativo gerador de código em seu smartphone, que fornece um token de uso único que você pode usar para verificar sua identidade . Ou você pode contar com o Inherence : verificação facial e similares , fornecidos por alguns dos serviços atualmente, como um segundo fator de verificação de segurança para sua conta.

A autenticação de dois fatores é infalível? Existem desvantagens em usar o 2FA?

Agora que você já entendeu o que é a autenticação de dois fatores e como ela funciona, vamos dar uma olhada em sua implementação e as desvantagens (se houver) de usá-la em sua conta.

Para começar, embora o consenso em torno do uso de autenticação de dois fatores entre a maioria dos especialistas seja em geral positivo e leve as pessoas a habilitar o 2FA em suas contas, certamente existem algumas falhas na implementação do mecanismo que impedem que seja uma solução infalível.

Essas deficiências (ou melhor, vulnerabilidades) são principalmente resultado da má implementação de 2FA pelos serviços que os utilizam, o que pode, por si só, ser falho em vários níveis.

Para ter uma ideia de uma implementação 2FA fraca (leia-se ineficaz), considere um cenário em que você tenha 2FA ativado em sua conta usando seu número de celular. Nessa configuração, o serviço envia uma OTP por SMS que você precisa usar para verificar sua identidade. No entanto, como o segundo fator é enviado pela operadora nessa situação, ele está sujeito a vários tipos de ataques e, portanto, não é seguro em si. Como resultado, essa implementação pode não ser tão eficaz quanto deveria para proteger sua conta.

Além do cenário acima, existem várias outras situações em que o 2FA pode ser vulnerável a todos os tipos de ataques. Algumas dessas situações incluem instâncias em que um site/aplicativo que incorpora o mecanismo: tem uma implementação distorcida para verificação de token; não possui um limite de taxa que possa permitir que alguém force sua entrada na conta; permite que o mesmo OTP seja enviado repetidamente; conta com controle de acesso impróprio para códigos de backup, entre outros. Tudo isso pode levar a vulnerabilidades que podem permitir que alguém – com o conhecimento e as habilidades certas – encontre o caminho para contornar o mecanismo 2FA mal implementado e obter acesso à conta de destino.

Da mesma forma, outro cenário em que o 2FA pode ser problemático é quando você o usa de forma negligente. Por exemplo, se você tiver a autenticação de dois fatores habilitada em uma conta usando um aplicativo gerador de código e decidir mudar para um novo dispositivo, mas esquecer de mover o aplicativo autenticador para o novo telefone, poderá ser bloqueado completamente da sua conta. E, por sua vez, você pode acabar em uma situação em que pode ser difícil recuperar o acesso a essas contas.

Mais uma situação em que o 2FA às vezes pode prejudicá-lo é quando você usa o SMS para obter seu token 2FA. Nesse caso, se você estiver viajando e se mudar para um local com pouca conectividade, pode acabar não recebendo o token de uso único via SMS, o que pode tornar sua conta inacessível temporariamente. Sem mencionar que você muda de operadora e ainda tem o número de celular antigo vinculado a contas diferentes para 2FA.

No entanto, com tudo isso dito, há um fator crucial em jogo aqui, que é que, como a maioria de nós é usuários médios da Internet e não usa nossas contas para casos de uso questionáveis, não é muito provável que um hacker tenha como alvo nosso contas como ataques potenciais. Uma das razões óbvias para isso é que uma conta de um usuário médio não é suficientemente atraente e não oferece muito a ganhar para alguém gastar seu tempo e energia realizando um ataque.

Nesse cenário, você acaba obtendo o melhor da segurança 2FA, em vez de encontrar algumas de suas desvantagens extremas, conforme declarado anteriormente. Resumindo, as vantagens do 2FA superam as desvantagens para a maioria dos usuários – desde que você o use com cuidado.

Por que você deve usar a autenticação de dois fatores (2FA)?

À medida que contratamos mais e mais serviços online, estamos, de alguma forma, aumentando as chances de comprometer nossas contas. A menos, é claro, que haja verificações de segurança para garantir a segurança dessas contas e manter as ameaças afastadas.

Nos últimos anos, violações de dados de alguns dos serviços populares (com enorme base de usuários) vazaram toneladas de credenciais de usuários (endereços de e-mail e senhas) online, o que colocou em risco a segurança de milhões de usuários em todo o mundo, permitindo que um hacker (ou qualquer pessoa com conhecimento) para usar as credenciais vazadas para acessar essas contas.

Embora isso seja uma grande preocupação, as coisas pioram quando essas contas não têm autenticação de dois fatores, pois isso torna todo o processo simples e pouco sofisticado para um hacker. Assim, permitindo uma aquisição fácil.

No entanto, se você empregar autenticação de dois fatores em sua conta, acabará com uma camada extra de segurança, que é difícil de contornar, pois usa o fator Posse ( algo que só você tem ) - um token gerado por OTP ou aplicativo/fob — para verificar sua identidade.

Na verdade, as contas que exigem uma etapa extra para entrar geralmente não são as que estão no radar dos invasores (especialmente em ataques em grande escala) e são, portanto, comparativamente mais seguras do que aquelas que não empregam 2FA. Dito isso, não há como negar o fato de que a autenticação de dois fatores adiciona uma etapa extra no momento do login. No entanto, a segurança e a tranquilidade que você obtém em troca valem indiscutivelmente o incômodo.

O cenário mencionado acima é apenas uma das muitas instâncias diferentes em que ter o 2FA ativado em sua conta pode ser benéfico. Mas, dito isso, vale a pena mencionar novamente que, embora o 2FA aumente a segurança da sua conta, também não é uma solução infalível e, portanto, precisa ser implementado corretamente pelo serviço; sem falar na configuração adequada por parte do usuário, que deve ser feita com cuidado (fazendo um backup de todos os códigos de recuperação) para que o serviço funcione a seu favor.

Como implementar a autenticação de dois fatores (2FA)?

Dependendo da conta que você deseja proteger com autenticação de dois fatores, você deve seguir um conjunto de etapas para habilitar o 2FA em sua conta. Seja alguns dos sites de redes sociais populares como Twitter, Facebook e Instagram; serviços de mensagens como WhatsApp; ou até mesmo sua conta de e-mail; esses serviços oferecem a capacidade de habilitar o 2FA para melhorar a segurança da sua conta.

Em nossa opinião, embora o uso de senhas fortes e exclusivas para todas as suas contas diferentes seja rudimentar, você não deve ignorar a autenticação de dois fatores, mas sim aproveitá-la se um serviço fornecer a funcionalidade, especialmente para sua conta do Google, que está vinculada a a maioria de suas outras contas como opção de recuperação.

Falando sobre o melhor método para habilitar a autenticação de dois fatores, uma das formas mais seguras é usar uma chave de hardware que gera código em intervalos fixos. No entanto, para um usuário comum, aplicativos geradores de código como Google, LastPass e Authy também devem funcionar perfeitamente. Além disso, hoje em dia, você obtém certos gerenciadores de senhas que oferecem um cofre e um gerador de token, o que o torna ainda mais conveniente para alguns.

Embora a maioria dos serviços exijam um conjunto semelhante de etapas para habilitar a autenticação de dois fatores, você pode conferir nosso guia sobre como habilitar o 2FA em sua conta do Google e outros sites de mídia social para descobrir como configurar corretamente a segurança de autenticação de dois fatores em sua conta. E enquanto você faz isso, certifique-se de ter uma cópia de todos os códigos de backup para que você não fique bloqueado em sua conta caso não receba tokens ou perca o acesso ao gerador de tokens.