Autenticação de dois fatores: como configurá‑la e não depender apenas de uma senha
As senhas são a chave para nossas informações digitais. Por isso, durante anos falamos sobre a importância de protegê-las, explicamos onde armazená-los e compartilhamos boas práticas para a criação de senhas fortes e seguras, sem cometer alguns dos erros mais comuns que podem comprometê-la.
No entanto, mesmo que você seja bastante cuidadoso e atencioso com relação ao uso de senhas, nada impedirá que suas chaves sejam expostas em um vazamento de dados. Infelizmente, esse tipo de incidente está se tornando cada vez mais frequente. Apenas neste ano, mais de 1 bilhão de contas vazaram através de diferentes incidentes de segurança, entre os quais se destaca a recente publicação de dados de 533 milhões de usuários do Facebook.
Caso queira saber se seus dados vazaram em algum desses últimos incidentes, acesso o site Have I Been Pwned e insira seu endereço de e-mail ou número de telefone. Se os seus dados tiverem sido vazados, você obterá uma lista com os detalhes dos incidentes e quais informações pessoais foram comprometidas em cada caso. Se a sua senha estiver na lista, é fundamental alterá-la imediatamente no serviço comprometido e em qualquer outro serviço no qual a mesma senha esteja sendo usada.
Já que as senhas são tão vulneráveis e fáceis de obter, por que ainda são a principal – e geralmente a única – chave para nossas informações? É claro que hoje em dia uma senha, por mais forte que seja, não é suficiente para proteger o acesso digital. Precisamos reforçar essa senha com algum outro método de autenticação e é aqui que entra a autenticação de dois fatores, também conhecida como verificação em duas etapas, duplo fator de autenticação ou autenticação multifator.
O que é autenticação de dois fatores?
A senha não é a única forma de autenticação em um sistema. Na verdade, existem três formas diferentes de fazer isso:
- Por meio de algo que só nós sabemos, como a senha clássica, uma palavra ou pergunta secreta, etc.
- Por meio de algo que temos, como um cartão físico, um certificado digital em um pen drive, um token físico ou digital, nosso smartphone, etc.
- Por meio de algo que somos, ou seja, através de nossos dados biométricos, como impressão digital, íris, reconhecimento facial, etc.
No processo de autenticação tradicional, usamos apenas uma dessas três formas, geralmente a senha. A verificação em duas etapas – ou multifatorial – propõe a combinação de dois métodos de autenticação de forma que, se um deles for comprometido, o outro poderá garantir o acesso às informações.
Embora pareça complexo, a verdade é que provavelmente você já use esse sistema de autenticação de dois fatores há muito tempo, mesmo sem perceber. O exemplo clássico é o uso de caixas eletrônicos (ATM) para sacar dinheiro, já que para realizar esse processo é necessário contar com um cartão de débito (algo que você possui) e uma senha (algo que você conhece).
Como a autenticação de dois fatores funciona na maioria dos serviços on-line?
Grande parte dos sistemas atuais aplica esse mesmo princípio para fornecer uma camada extra de proteção às contas de seus usuários, combinando a senha (algo que o usuário conhece) com um token digital ou código de acesso temporário que é recebido ou gerado no telefone (algo que o usuário tem). Ou seja, após inserir a senha usual, será solicitado um código que é enviado por SMS ou por meio de um aplicativo no smartphone. Dessa forma, caso um cibercriminoso consiga obter a senha – seja porque o usuário foi vítima de um golpe ou devido a um vazamento de dados – ele não poderá concluir a autenticação caso não tenha o smartphone da vítima em mãos, já que o código temporário é enviado para o dispositivo do usuário.
Dependendo do sistema ou serviço no qual configuramos a autenticação de dois fatores, a maneira como devemos usar nosso smartphone para gerar o código de acesso pode variar. A maioria dos serviços simplesmente pede que o usuário insira o número de telefone no qual receberá um SMS para confirmar a configuração e cada vez que seja necessário realizar um novo login. Outra opção é associar a conta a um aplicativo de autenticação, como o Google Authenticator, o Authy ou o ESET Secure Authentication. Esses aplicativos são vinculados ao serviço para autenticar e funcionam como tokens digitais, gerando códigos aleatórios a cada 1 minuto. Esses tipos de aplicativos são muito semelhantes aos tokens usados pelos aplicativos bancários e causam menos incômodos, pois não dependem da linha telefônica para receber o SMS.
Por último, em alguns casos não é necessário usar um código de acesso, mas o usuário recebe no seu smartphone uma mensagem com um pedido de autorização, que deve aceitar colocando também a sua impressão digital. Nesse caso, o leitor de impressão digital dos telefones atuais também é utilizado para as 3 formas de autenticação, já que além da senha e do telefone, o usuário deve verificar sua impressão digital.
É importante esclarecer que, embora adicionar mais uma etapa à autenticação pareça algo tedioso, a maioria dos sistemas permite salvar um dispositivo já autenticado como “seguro”. Dessa forma, ao acessar uma conta ou serviço através dispositivo seguro, não será necessário inserir um código de verificação em duas etapas na hora de realizar login. Obviamente, essa opção só deve ser ativada nos dispositivos de uso exclusivo, não partilhados e devidamente protegidos.
Como configurar a verificação em duas etapas na minha conta?
Agora que você já sabe como a verificação em duas etapas funciona, é hora de configurá-la para todos os seus serviços on-line. Lembre-se que cada serviço pode implementar esse sistema com pequenas variações, mas o conceito será sempre o mesmo: após inserir sua senha usual, será solicitado um código que será gerado ou recebido no seu celular.
Antes de começar, sugerimos que você escolha se deseja receber esse código por SMS ou se prefere usar um aplicativo de autenticação como os mencionados acima. Caso escolha essa última opção, será necessário baixar o app de autenticação no seu celular.
A realidade é que relatórios de empresas como Google ou Microsoft já mostraram que a autenticação em duas etapas é a maneira mais eficaz de evitar o sequestro de contas. Entretanto, muitos usuários – e mesmo empresas – não implementam essa ferramenta por desconhecimento ou falta de consciência sobre os riscos a que estão expostos. Portanto, embora a ativação desse mecanismo de segurança seja opcional, é fundamental ativá-lo para garantir ainda mais segurança e, consequentemente, não depender apenas de uma senha.
Adaptado de: Autenticação de dois fatores: como configurá‑la e não depender apenas de uma senha | WeLiveSecurity