A autenticação de dois fatores (2FA) costumava parecer algo reservado para filmes de espionagem ou thrillers políticos - o tipo de coisa que Ethan Hunt do Mission Impossible precisa usar para acessar sua atribuição antes que ela se autodestrua. Mas esse não é mais o caso. Praticamente todos nós usamos 2FA diariamente, seja 2FA biométrico em nossos dispositivos (impressão digital ou reconhecimento facial) ou as senhas de uso único comuns que são obtidas por SMS ou um aplicativo autenticador.
Nossas contas são valiosas demais para que os hackers as ignorem. Até mesmo uma conta de e-mail comprometida pode ser um trampolim para obter acesso a contas financeiras e roubar seu dinheiro suado, enquanto cria um cenário de pesadelo para você. Embora os filmes retratem um hacker com capuz e dedos voando furiosamente sobre o teclado, a realidade é que, de acordo com o Relatório de investigações de violação de dados da Verizon de 2022-2023, a esmagadora maioria das violações de segurança (85%) envolve um elemento humano. 2FA é a melhor forma de combater esse tipo de ataque.
- Melhores serviços VPN 2022-2023
- O aplicativo Norton Antivirus agora permite que você ganhe criptografia - aqui está o que você pode minerar
- As melhores ofertas de laptop em junho de 21-2022
Quer você pense que isso é uma preocupação real para você ou não, muitas empresas estão mudando para 2FA como uma medida de segurança necessária, sendo o Google um dos mais recentes a anunciar que exigirá 2FA em um futuro próximo.
Abordamos recentemente por que você precisa parar de usar seu número de telefone para autenticação de dois fatores, se você perdeu isso e não tem certeza por que é uma ideia tão ruim, leia e volte, agora vamos mostrar como para fazer 2FA da maneira certa.
O que é autenticação de dois fatores?
2FA é a forma mais conhecida e amplamente usada de autenticação multifator (MFA), que, como o nome sugere, depende de vários fatores para verificar sua identidade. Um exemplo clássico é conseguir dinheiro em um caixa eletrônico, você precisa do cartão e também do seu PIN para acessar sua conta.
Esse exemplo inclui duas das três categorias de MFA, “o que você tem” (um objeto físico) e “o que você sabe” (uma senha ou pergunta de segurança). A terceira opção é “o que você é”, o que significa um método biométrico como um scanner de impressão digital ou reconhecimento facial. Ao contrário até de uma senha incrivelmente complexa, isso elimina a possibilidade de violação de sua conta sem acesso físico a você.
No anúncio 2FA do Google mencionado, ele se refere às senhas como “a maior ameaça à sua segurança online”. Por enquanto, as senhas ainda fazem parte do processo 2FA para a maioria das pessoas. No entanto, a questão é que eles são o ponto fraco da cadeia que precisa ser reforçado por pelo menos um fator adicional. Então, vamos dar uma olhada nas melhores opções para 2FA.
Autenticação de dois fatores baseada em aplicativo
Como acontece com quase tudo, existem soluções de aplicativos para lidar com 2FA, eles são chamados de aplicativos autenticadores. Existem dezenas no mercado, mas alguns que eu recomendaria são Authy, Microsoft Authenticator, LastPass e 1Password. O Google Authenticator é outra opção popular, mas não gosto que não exija senha ou login biométrico, é uma lacuna de segurança potencial em um processo que está tentando eliminá-los.
Authy é um aplicativo autenticador dedicado e é expressamente usado para login 2FA. Microsoft Authenticator, LastPass e 1Password são gerenciadores de senhas que incorporaram um componente autenticador. Se você precisa de um gerenciador de senhas ou já usa um deles, eu iria por esse caminho, pois isso torna o processo 2FA o mais simples possível.
Depois de escolher seu aplicativo autenticador e instalá-lo, você pode começar a configurar o 2FA para suas contas. Esta será a parte mais tediosa do processo, pois envolve visitar qualquer serviço ou site que você use e que ofereça suporte 2FA, um por um. Suspeito que essa é a etapa que desanima a maioria das pessoas de usar 2FA, mas, em última análise, vale a pena para sua segurança online. E depois de ter 2FA instalado e funcionando, não é o incômodo que alguns fazem parecer ser.
Durante a configuração inicial, você irá escanear um código QR ou, em alguns casos, inserir um código e, em seguida, esse serviço será salvo em seu aplicativo autenticador. Você verá suas contas listadas com um conjunto de seis dígitos ao lado delas e um cronômetro em contagem regressiva. A cada 30 segundos, um novo código aleatório de seis dígitos é produzido para cada um. Essas são senhas de uso único (TOTP) baseadas em tempo, semelhantes às que você obteria por SMS ou e-mail, mas não requerem uma conexão com a Internet e, criticamente, não podem ser interceptadas por ninguém.
Agora, na maioria dos casos, você não precisará inserir seu código TOTP toda vez que fizer login, a menos que queira esse nível de segurança. Normalmente, só é necessário que você o use quando estiver fazendo login em um novo dispositivo ou depois de decorrido um determinado período de tempo, 30 dias é o comum, mas os sites e serviços variam em relação a isso.
Autenticação de dois fatores baseada em hardware
Agora, embora haja definitivamente um fator de conveniência com autenticadores móveis. Em um estudo de caso de dois anos com o Google, uma solução baseada em hardware foi quatro vezes mais rápida, menos sujeita a exigir suporte e mais segura. Uma solução MFA / 2FA de hardware se parece muito com uma unidade flash USB. Eles vêm em diferentes formas e tamanhos, oferecendo suporte para qualquer um dos seus dispositivos com USB tipo A, USB tipo C e Lightning. Algumas opções modernas também oferecem suporte sem fio por meio de NFC ou Bluetooth.
Com essas chaves de segurança, você simplesmente as conecta ao seu dispositivo ou passa-as no chip NFC do seu dispositivo e isso serve como seu método 2FA. Esta é a categoria MFA “o que você tem”. É fácil ver como isso vai ser mais rápido do que abrir seu aplicativo autenticador, encontrar o código TOTP relevante e, em seguida, inseri-lo antes de redefinir.
Assim como os aplicativos de autenticador, há um número considerável de opções quando se trata de hardware 2FA. O mais proeminente (e aquele que o Google escolheu para seus mais de 50.000 funcionários) é YubiKey. O próprio Google tem sua chave de segurança Titan e Thetis é outro jogador forte no mercado, mas todas essas opções são FIDO U2F Certified, um padrão aberto criado pelo Google e Yubico (a empresa por trás do YubiKey) em 2007 para promover a ampla adoção de segurança autenticação.
O processo de configuração básico é essencialmente idêntico ao método do autenticador móvel, você precisará ir a cada serviço e seguir as instruções para configurar 2FA. Em vez de escanear um código QR e obter os códigos TOTP, você plugará ou passará sua chave de segurança quando solicitado e ela será registrada nesse serviço. Quando solicitado no futuro, você terá apenas que mais uma vez plug-in ou passar sua chave de segurança e tocar no contato nela. Se não tiver certeza de quais serviços e aplicativos você usa que suportam uma chave de segurança, você pode consultar este catálogo útil da Yubico.
A preocupação mais comum com a chave de segurança é o que fazer se você a perder ou se quebrar. Existem algumas opções lá. Aquela que o Google emprega e Yubico recomenda é manter duas chaves de segurança, uma que é armazenada com segurança e outra que você mantém com você. Com exceção de algumas das pequenas chaves de segurança que devem ser mantidas permanentemente conectadas a dispositivos que estão em um local seguro, todas as chaves de segurança têm um orifício para permitir que sejam anexadas ao seu chaveiro.
Isso significa que sempre que você se registrar para 2FA em um novo serviço, será necessário executar as duas chaves de segurança, pois ele está se registrando no hardware físico e não em uma conta, mas, novamente, após a configuração inicial, isso não deve ser tão frequente de um edição. Eles não são terrivelmente caros com o YubiKey 5 NFC, por exemplo, custando US $ 45 e a chave de segurança Thetis FIDO2 BLE disponível por menos de US $ 30 e você não deveria ter que substituí-los por anos, então não é uma solução ruim.
A alternativa é manter os códigos de backup fornecidos por todos os sites e serviços nos quais você usa 2FA. Eles podem ser impressos e armazenados em um local seguro ou você pode criptografar e armazenar os arquivos de texto em um local seguro, em uma pasta criptografada e bloqueada por senha ou em uma unidade flash armazenada com segurança.
Visão geral
Independentemente de você optar por uma solução 2FA baseada em aplicativo ou baseada em hardware, não há dúvida de que a configuração inicial é um dos maiores obstáculos devido ao grande volume de sites, serviços e aplicativos que muitos de nós usamos. Achei mais fácil fazer apenas 3-5 por dia até que eu fiz meu caminho por todos eles, em vez de ir para uma única sessão de inscrição da maratona.
Depois de concluir o processo inicial, porém, é uma etapa extra bastante indolor que oferece muito mais segurança do que uma senha sozinha ou uma solução 2FA baseada em SMS ou e-mail. Você pode se irritar um pouco com o tempo extra gasto ocasionalmente tendo que inserir seu código ou plug-in sua chave de segurança, mas isso empalidece em comparação com a dor de cabeça de ter que lidar com alguém roubando suas credenciais e potencialmente virando sua vida de cabeça para baixo enquanto você tenta para recuperar o controle de suas contas.
Com empresas como PayPal, Google e outras mudando para 2FA como um requisito, você vai precisar de uma solução 2FA. Não se contente com soluções baseadas em SMS ou e-mail, elas são facilmente contornadas. Tanto os aplicativos autenticadores quanto as chaves de segurança de hardware oferecem segurança 2FA real e forte e, após o processo de configuração inicial, rapidamente se torna uma parte integrante de seus hábitos de segurança online.