A autenticação de dois fatores está em toda parte. A partir do momento em que você entra em sua conta do Gmail para acessar seus dados financeiros via PayPal, a 2FA está lá para recebê-lo como uma forma mais segura de fazer login. Você o encontrará até mesmo ao configurar um PS5 ou Xbox Series X. Heck , é provável que você já tenha usado hoje.
Também conhecida como autenticação multifator, 2FA é uma camada extra de segurança - usada por praticamente todas as plataformas online - que impede muitos hackers de baixo nível em seu caminho, protegendo todas as suas valiosas informações privadas de serem violadas.
- As melhores ofertas de telefone em 2022-2023
- Descubra os melhores smartphones em 2022-2023
Infelizmente, as táticas de hacking estão sempre evoluindo, e tudo o que precisamos é um criminoso cibernético astuto para encontrar um pequeno buraco na armadura e saquear o que antes eram contas impenetráveis para o conteúdo de seu coração. Mas você não precisa ser um gênio em descriptografar códigos para obter acesso à conta de uma vítima inocente.
Na verdade, de acordo com o Relatório de investigações de violação de dados da Verizon de 2022-2023, 61% das 5.250 violações de segurança confirmadas que a operadora de rede americana analisou envolveram credenciais roubadas. Obviamente, o objetivo da autenticação multifator é impedir que agentes mal-intencionados obtenham acesso a uma conta, mesmo se descobrirem uma senha supersecreta.
Mas assim como Scar deixou Mufasa para cair para sua perdição em uma das maiores traições de todos os tempos, o método de segurança também pode ser a causa raiz da atividade cibercriminosa. O verdadeiro traidor? Seu antigo número de telefone.
Para ter uma ideia melhor de como os invasores podem usar facilmente a autenticação de dois fatores contra você, é melhor saber qual é o método de segurança online e como ele funciona. Se ajudar, pense no seu antigo número de telefone como uma cicatriz ao longo desta peça.
O que é autenticação de dois fatores?
A autenticação multifator (MFA) é um método de autenticação digital usado para confirmar a identidade de um usuário para permitir que ele acesse um site ou aplicativo por meio de pelo menos duas evidências. A autenticação de dois fatores, mais conhecida como 2FA, é o método mais comumente usado.
Para que o 2FA funcione, um usuário deve ter pelo menos duas peças importantes de credenciais para fazer login em uma conta (com vários fatores geralmente envolvendo mais de três detalhes diferentes). Isso significa que, se um usuário não autorizado conseguir uma senha, ele ainda precisará acessar um e-mail ou número de telefone vinculado à conta, onde um código especial é enviado para um nível extra de proteção.
Por exemplo, um banco exigirá um nome de usuário e uma senha para que um usuário acesse sua conta, mas também precisa de uma segunda forma de autenticação, como um código exclusivo ou reconhecimento de impressão digital para confirmar a identidade de um usuário. Este segundo fator também pode ser usado antes que uma transação seja feita.
Conforme explicado pela empresa de software Ping Identity, as credenciais necessárias da 2FA são divididas em três categorias diferentes: "o que você sabe", "o que você tem" e "o que você é". Em termos de "o que você sabe", ou seu conhecimento, isso se resume a suas senhas, número PIN ou resposta a uma pergunta de segurança como "qual é o nome de solteira da sua mãe?" (algo que parece que nunca me lembro).
“O que você é” é sem dúvida a categoria mais segura, pois confirma sua identidade a partir de uma característica física exclusiva apenas para você. Isso geralmente é visto em smartphones, como um iPhone ou telefone Samsung Galaxy, usando autenticação biométrica, como impressão digital ou digitalização facial para obter acesso.
Quanto a “o que você tem”, refere-se ao que está em sua posse, que pode ser qualquer coisa, desde um dispositivo inteligente até um cartão inteligente. Geralmente, esse método significa receber uma notificação pop-up em seu telefone via SMS que precisa ser confirmada antes de obter acesso a uma conta. Para qualquer profissional que usa o Google Gmail para empresas, você já se deparou com essa categoria.
Infelizmente, essa última categoria é motivo de preocupação, especialmente quando você joga a reciclagem de números de telefone na mistura.
Reciclagem de número de telefone
De acordo com a Federal Communications Commission (FCC), mais de 35 milhões de números nos EUA são desconectados e se tornam disponíveis novamente, reatribuindo-os a um novo assinante a cada ano. Claro, os números são infinitos e tudo, mas existem apenas algumas combinações de 10 ou 11 dígitos que uma rede móvel pode oferecer aos seus clientes.
O Office of Communications (Ofcom) do Reino Unido, a entidade que atribui números de celular aos provedores de rede do Reino Unido, declara (por meio do The Evening Standard) que tem uma política estrita de "use ou perca" para pagamento conforme o uso números de celular. A Vodafone desconecta e recicla um número de telefone após 90 dias sem atividade, enquanto a O2 faz isso após 12 meses.
Nos EUA, os provedores de rede, incluindo Verizon e T-Mobile, permitem que os clientes alterem e escolham os números disponíveis mostrados nas interfaces de alteração de número online por meio de seu site ou aplicativo. Existem milhões de números de telefone reciclados disponíveis, e mais se acumulam a cada dia.
Números reciclados podem ser prejudiciais para aqueles que os possuíam originalmente, pois muitas plataformas, incluindo Gmail e Facebook, estão vinculadas ao seu número de celular para recuperação de senha ou, e aqui está o kicker, autenticação de dois fatores.
Como a 2FA coloca você em risco
Um estudo da Universidade de Princeton descobriu com que facilidade qualquer pessoa pode obter um número de telefone reciclado e usá-lo para vários ataques cibernéticos comuns, incluindo invasões de conta e até negação de acesso a uma conta, mantendo-a refém e pedindo resgate em troca de acesso.
De acordo com o estudo, um invasor pode encontrar os números disponíveis e verificar se algum deles está associado a contas online de proprietários anteriores. Ao visualizar seus perfis online e verificar se o número antigo está vinculado, os invasores podem comprar o número reciclado (apenas US $ 15 na T-Mobile) e redefinir a senha das contas. Usando 2FA, eles irão receber e inserir o código especial enviado por SMS.
Os pesquisadores testaram 259 números obtidos por meio de duas operadoras de celular dos EUA e descobriram que 171 delas tinham uma conta vinculada em pelo menos um dos seis sites comumente usados: Amazon, AOL, Facebook, Google, PayPal e Yahoo. Isso é chamado de "ataque de pesquisa reversa".
Os pesquisadores descobriram outra variação do ataque que permitia que atores mal-intencionados sequestrassem contas sem precisar redefinir uma senha. Usando o serviço de pesquisa de pessoas online BeenVerified, um hacker pode pesquisar um endereço de e-mail usando um número de telefone reciclado e, em seguida, verificar se os endereços de e-mail estiveram envolvidos em violações de dados usando Have I Been Pwned ?. Se tivesse, o invasor poderia comprar a senha em um mercado negro de criminosos cibernéticos e invadir uma conta habilitada para 2FA sem precisar redefinir uma senha.
Para piorar a situação, os invasores também podem tornar sua conta como refém. Um truque desagradável consiste em um hacker obter um número para se inscrever em vários serviços online que exigem um número de telefone. Depois de concluído, eles interrompem o serviço para que o número possa ser reciclado para um novo assinante começar a usar. Quando o novo usuário tentar se inscrever nos mesmos serviços, o hacker será notificado via 2FA e negará a forma de usar o serviço. O ator da ameaça pedirá então que a vítima pague um resgate se ela quiser usar esses serviços online.
Usar 2FA dessa forma é horrível, mas isso não impede que aconteça. A T-Mobile revisou a pesquisa em dezembro e agora lembra os assinantes de atualizarem seu número de contato em contas bancárias e perfis de mídia social em sua página de suporte para mudança de número. Mas isso é tudo que a operadora tem o poder de fazer, o que significa que aqueles que não forem informados estarão abertos a ataques.
Formas alternativas de usar 2FA
Na verdade, números de telefone e 2FA não combinam muito bem. A boa notícia, no entanto, é que agora existem mais opções disponíveis ao optar pelo uso de 2FA, incluindo os métodos biométricos ou aplicativos autenticadores mencionados anteriormente.
No entanto, essas opções nem sempre estão disponíveis e, às vezes, os serviços online fornecem apenas duas opções para 2FA: seu número de telefone ou endereço de e-mail. Se você não quer que hackers vasculhem suas informações privadas, é melhor optar pela autenticação de e-mail. Claro, existem aqueles que nem sempre usam seus e-mails e, com o tempo, muitas vezes podem esquecer suas senhas. Sem senha, significa que não há como obter um código de autenticação.
Para resolver isso, é melhor encontrar um gerenciador de senhas. O LastPass costumava ser o preferido por anos graças ao seu serviço de nível gratuito, mas há outros concorrentes que valem a pena conferir.
“Mas e se eu já estiver usando meu número de telefone para 2FA?” Eu ouço você perguntar. Se você estiver pensando em mudar seu número de telefone, certifique-se de desvincular seu número de telefone dos serviços online aos quais ele está conectado antes de fazer a mudança. E, se você já fez a troca, vale a pena atualizar suas contas para se livrar de quaisquer Scars (números de telefone) que estejam à espreita para apunhalá-lo pelas costas quando menos esperar.
Panorama
A autenticação de dois fatores está em toda parte e veio para ficar. Na verdade, o Google em breve o forçará a usar 2FA ao fazer login, com o gigante da tecnologia garantindo um "futuro mais seguro sem senhas". Esta não é uma ideia terrível, mas há potencial para muitas pessoas usarem seus números de telefone como uma forma de serem identificadas. Temos certeza de que hackers de baixo nível gostam do som disso.
Para evitar que isso aconteça, assim que a 2FA começar a assumir todas as plataformas online, tudo o que você precisa fazer é, bem, ler o título deste artigo e seguir nossos conselhos.
