Melhor do que a melhor senha: como usar o 2FA para melhorar sua segurança

Views: 1195
0 0
Read Time:13 Minute, 32 Second

Quer evitar ter suas contas online hackeadas? Habilite a autenticação de dois fatores, uma medida de segurança crucial que requer um passo extra ao fazer login em serviços de alto valor. Neste post, explico como configurar o 2FA e quais contas focar primeiro.

Você está a uma brecha de dados de ter toda a sua vida online virada de cabeça para baixo. O problema são as senhas, que são formas irremediavelmente frágeis de garantir recursos valiosos.

Não se deixe levar a uma falsa sensação de segurança pela crença de que criar uma senha mais longa, mais complexa e difícil de adivinhar vai de alguma forma torná-lo mais seguro on-line. Você pode criar uma senha tão longa e complexa que leva cinco minutos para digitar, e não fará nada para protegê-lo se o serviço onde você usa essa senha a armazena incorretamente e, em seguida, tiver seu servidor violado. Acontece regularmente.

E mesmo com políticas razoáveis em vigor (complexidade, alteradas regularmente, não reutilizadas), as pessoas ainda são o elo mais fraco da cadeia de segurança. A engenharia social pode convencer até mesmo pessoas inteligentes a inserir suas credenciais em um site de phishing ou entregá-las por telefone.

A solução é a autenticação de dois fatores, ou 2FA. (Alguns serviços, sendo defensores de detalhes, chamam de autenticação multifatorial ou verificação em duas etapas, mas 2FA é o termo mais utilizado, de modo que é a nomenclatura que escolhi usar aqui.)

Um relatório de 2019 da Microsoft concluiu que o 2FA funciona, bloqueando 99,9% dos ataques automatizados. Se um provedor de serviços suporta autenticação de vários fatores, a Microsoft recomenda usá-lo, mesmo que seja tão simples quanto senhas únicas baseadas em SMS. Um relatório separado de 2019 do Google ofereceu conclusões semelhantes.

Neste artigo, respondo algumas das perguntas mais comuns que as pessoas me fazem sobre o 2FA.

COMO FUNCIONA O 2FA?

Ligar o 2FA para um serviço altera os requisitos de segurança, forçando-o a fornecer pelo menos duas provas de identidade ao acessar um serviço seguro pela primeira vez em um dispositivo desconhecido. Essas duas formas de autenticação podem vir de qualquer combinação de pelo menos dois dos seguintes elementos:

  • “Algo que você sabe”, como uma senha ou PIN
  • “Algo que você é”, como uma impressão digital ou outra identificação biométrica
  • “Algo que você tem”, como um smartphone confiável que pode gerar ou receber códigos de confirmação, ou um dispositivo de segurança baseado em hardware

Na maioria das vezes, os sistemas de autenticação de dois fatores que você vê no local hoje usam o primeiro item (sua senha) e o último item (seu smartphone). Os smartphones tornaram-se onipresentes, tornando-os dispositivos de segurança ideais.

Seu smartphone pode ajudar com a autenticação fornecendo um código exclusivo que você usa junto com sua senha para fazer login. Você pode adquirir esse código de duas maneiras: Enviado como uma mensagem de texto do serviço, ou gerado por um aplicativo instalado em seu telefone.

Aqui, por exemplo, é o que eu vi momentos atrás quando tentei fazer login na minha conta do Gmail a partir de um navegador que eu nunca tinha usado antes.

google-verification
Se alguém tentar fazer login em uma conta protegida pelo 2FA, precisará de uma segunda prova, como o código de um aplicativo autenticador

Se esse pedido de login fosse de alguém que tivesse roubado minhas credenciais da conta do Google, eles seriam parados mortos em seus rastros. Sem esse código, eles não podem continuar o processo de login.

A maioria (mas não todos) serviços que suportam 2FA oferecem uma escolha de métodos de autenticação. O Google e a Microsoft, por exemplo, podem tanto levar notificações para um dispositivo confiável; você toca na notificação para aprovar o login. Um número crescente de serviços suporta o uso de chaves de segurança de hardware (ver: “Mãos na frente da YubiKey: O 2FA baseado em hardware é mais seguro, mas cuidado com essas gotchas.”)

E, claro, a maioria dos serviços oferece a opção de imprimir códigos de recuperação de backup, que você pode armazenar em um lugar seguro e usar caso seu método de autenticação secundário habitual não esteja disponível. Se o seu smartphone estiver perdido, roubado ou danificado, você precisará desses códigos.

QUAL MÉTODO DE AUTENTICAÇÃO É MELHOR?

O melhor método de autenticação é o que você está mais confortável com. Apenas certifique-se de ter pelo menos duas opções, para evitar o risco de ser bloqueado fora de sua conta.

Prefiro a opção de usar um aplicativo autenticador em vez de receber códigos via mensagem de texto sempre que possível, e você também deve, por duas boas razões. A primeira é uma questão de logística simples. Há momentos em que você tem acesso à internet (através de uma conexão com fio ou Wi-Fi), mas não pode receber uma mensagem de texto, porque seu sinal de celular é fraco ou inexistente, ou você está usando um SIM diferente durante a viagem. A segunda é a pequena, mas real chance de que um invasor irá fazer engenharia social através das defesas da sua operadora móvel para adquirir um cartão SIM com seu número de telefone, um processo chamado “SIM-jacking”.

O aplicativo 2FA mais popular é o Google Authenticator, que está disponível para iOS e Android. Mas há muitas alternativas; como o processo de geração de tokens seguros é baseado em padrões abertos, qualquer pessoa pode escrever um aplicativo autenticador que executa a mesma função. Na verdade, você pode usar vários aplicativos autenticadores. Eu uso o Microsoft Authenticator, que é capaz de receber notificações push de contas pessoais e comerciais nas plataformas da Microsoft, bem como o aplicativo de terceiros Authy. (Para obter detalhes, consulte “Proteja-se: como escolher o aplicativo autenticador de dois fatores certo.”.

Vale a pena notar que um aplicativo autenticador requer apenas uma conexão de dados durante o processo inicial de configuração. Depois disso, tudo acontece no seu dispositivo. O processo é regido por um padrão bem aceito que usa o algoritmo ToTP (One-Time Password, algoritmo de senha única baseado no tempo). Esse algoritmo usa o aplicativo autenticador como uma calculadora sofisticada que gera códigos usando o tempo atual em seu dispositivo e o segredo compartilhado. O serviço online usa o mesmo segredo e seu próprio horário para gerar códigos que ele se compara com sua entrada. Ambos os lados da conexão podem ajustar-se para fusos horários sem problemas, embora seus códigos falhem se a hora no seu dispositivo estiver errada.

COMO SABER QUAIS SERVIÇOS SUPORTAM O 2FA?

Quando comecei a escrever sobre essa tecnologia há uma década, o suporte ao 2FA era relativamente raro. Hoje, é comum.

As contas do Google, incluindo o Gmail do consumidor e as contas GSuite de negócios, oferecem uma ampla gama de alternativas de verificação em duas etapas. Todas as contas da Microsoft, incluindo as contas gratuitas usadas com Outlook.com, Xbox, Skype e outros serviços ao consumidor, suportam uma variedade de opções de autenticação, assim como as contas do Azure Active Directory usadas com os serviços comerciais e corporativos da Microsoft, incluindo Microsoft 365 e Office 365.

O suporte à 2FA é onipresente entre os serviços de mídia social (Facebook, Twitter, Instagram e assim por diante). Todos os serviços de armazenamento on-line que valem a pena considerar suportam 2FA, assim como a maioria dos registradores de domínio e empresas de hospedagem web. Se você não tem certeza sobre um serviço específico, o melhor lugar para verificar é um excelente repositório de informações de código aberto chamado Lista de Auth de Dois Fatores. E se um serviço de alto valor em que você confia não suporta 2FA, bem, talvez você devesse considerar mudar para um que o faça.

QUAIS SERVIÇOS DEVO PROTEGER PRIMEIRO?

Você provavelmente tem credenciais de login em dezenas de serviços online que suportam 2FA, então a melhor estratégia é fazer uma lista priorizada e trabalhar seu caminho através dele. Sugiro essas prioridades:

  • Gerenciadores de senha/identidade. Usar um gerenciador de senhas talvez seja a maneira mais importante de garantir que você tenha uma senha forte e única para cada serviço, mas que também crie um único ponto de ataque. Adicionar 2FA reforça essa fraqueza potencial. Observe que para algum software de gerenciamento de senhas, o suporte 2FA é uma opção paga.
  • Contas da Microsoft e do Google. Se você usar serviços de qualquer empresa, adicionar suporte 2FA é essencial. Felizmente, também é fácil.
  • Contas de e-mail. Se um ator ruim pode assumir sua conta de e-mail, muitas vezes eles podem causar estragos, porque as mensagens de e-mail são um meio padrão de enviar links de redefinição de senha. Mensagens enviadas de uma conta de e-mail comprometida também podem ser usadas para atacar seus amigos e colegas de trabalho (enviando anexos carregados de malware, por exemplo). Se você usar Outlook.com, Exchange Online, Gmail ou G Suite, sua conta de e-mail usará o método de verificação de identidade associado à sua conta microsoft ou google. Se você usar um serviço de e-mail diferente, você precisará configurar o 2FA separadamente.
  • Contas de mídia social. Assim como no e-mail, o maior risco associado a uma conta hackeada do Twitter ou Facebook é que ela será usada contra seus amigos e associados. Mesmo que você seja um lurker que raramente posta qualquer coisa nas mídias sociais, você deve proteger essas contas.
  • Bancos e instituições financeiras. A maioria dos bancos e empresas de cartão de crédito fizeram investimentos significativos em programas de detecção de fraudes back-end, razão pela qual as opções de 2FA são tipicamente limitadas em comparação com outras categorias. No entanto, vale a pena explorar essas configurações e apertá-las o máximo possível.
  • Compras e comércio online. Qualquer site onde você salvou um número de cartão de crédito deve ser protegido.

COMO EU CONFIGUREI O 2FA?

Configurar segurança adicional para a maioria dos serviços online requer habilidades técnicas mínimas. Se você puder usar a câmera do seu smartphone, digite um número de seis dígitos e toque em OK em uma caixa de diálogo, você tem todas as habilidades necessárias. A parte mais difícil do trabalho é encontrar a página que tem as configurações relevantes.

Se você estiver usando mensagens SMS, tudo o que você precisa fazer é associar um número de telefone celular com sua conta. (Você também pode usar uma linha de telefone virtual, como um número do Google Voice, que pode receber mensagens SMS.) Configure a conta para enviar um código para esse número sempre que você fizer login em um dispositivo não confiável. Por exemplo, aqui está como essa opção se parece quando habilitada em uma conta do Twitter:

twitter-2fa-setup.jpg
A opção 2FA mais simples é um código, enviado via mensagem SMS para um telefone registrado. Esta é a página de configuração 2FA para o Twitter.

Configurar o 2FA em uma conta do Twitter exige que você primeiro reinsira sua senha e, em seguida, digite o número de telefone onde deseja receber códigos de autenticação. Depois de completar esse processo, você receberá um código nesse dispositivo. Digite o código para confirmar que você recebeu e a configuração 2FA está completa. Com ajuda, o Twitter gera automaticamente um código de recuperação no final deste processo de configuração; imprimi-lo e arquivá-lo em um lugar seguro para que você possa se recuperar caso seu método primário 2FA não funcione mais.

Para começar com um aplicativo autenticador, primeiro você precisa instalar o aplicativo no dispositivo móvel que deseja usar como seu segundo fator de autenticação:

  • Se você carrega um dispositivo iOS, você pode obter o aplicativo Google Authenticator na App Store. (É otimizado para uso em iPhones, mas deve funcionar em um iPad também.) Em dispositivos Android, instale o aplicativo Google Authenticator na Google Play Store.
  • O aplicativo Microsoft Authenticator, que usa o mesmo padrão para criar tokens de autenticação, está disponível para dispositivos Android da Google Play Store e para dispositivos iOS da App Store.
  • Authy também está disponível na App Store e na Google Play Store.
  • Se você usar o gerenciador de senhas LastPass, considere instalar o aplicativo LastPass Authenticator, que foi projetado para funcionar com o aplicativo LastPass em dispositivos móveis e na área de trabalho.
  • Se você usar o 1Password como seu gerenciador de senhas, o suporte 2FA será incorporado no aplicativo 1Password em todas as plataformas. Para obter detalhes sobre como usar o recurso Senha Única, consulte esta página de suporte ao 1Password.

Depois de instalar o aplicativo para o seu dispositivo, o próximo passo é configurá-lo para trabalhar em cada conta onde você habilitou o 2FA.

O processo de configuração normalmente exige que você insira um segredo compartilhado (uma longa sequência de texto) usando o aplicativo móvel. Todos os aplicativos móveis que listei acima suportam usando uma câmera de smartphone para tirar uma foto de um código QR, que contém o segredo compartilhado para sua conta. Isso é muito mais fácil do que entrar em uma complexa corda alfanumérica manualmente.

Aqui, por exemplo, está o código QR que você verá ao configurar uma conta dropbox:

dropbox-2fa-setup.jpg
No aplicativo do smartphone, escolha a opção de adicionar uma nova conta e, em seguida, tire uma imagem do código de barras para configurar automaticamente o suporte ao 2FA.

No seu aplicativo autenticador. escolha a opção de adicionar uma nova conta, escolha a opção de código de barras, aponte o smartphone para o código de barras na tela do computador e aguarde que o aplicativo preencha os campos necessários.

Depois de configurar a conta no aplicativo autenticador, ela começa a gerar códigos com base no segredo compartilhado e no tempo atual. Para concluir o processo de configuração, digite o código atual no aplicativo autenticador.

Da próxima vez que você tentar fazer login com um novo dispositivo ou navegador da Web, você precisará digitar o código atual, conforme exibido pelo aplicativo autenticador.

Se você usar aplicativos de e-mail mais antigos que não suportam autenticação moderna com uma conta protegida pelo 2FA, sua senha normal não funcionará mais. Você precisará gerar senhas especiais para uso exclusivo com esses aplicativos. As configurações de segurança para sua conta devem guiá-lo através desse processo. (Mas, na verdade, se você está usando um aplicativo antigo que requer uma senha de aplicativo, talvez você devesse considerar substituí-lo.)

Como parte do processo de configuração 2FA, você também deve gerar um ou mais códigos de recuperação, que você pode imprimir e armazenar em um lugar seguro. Caso seu smartphone esteja perdido ou danificado, você pode usar esses códigos para recuperar o acesso à sua conta.

COMO TRANSFERIR CONTAS 2FA PARA UM NOVO SMARTPHONE?

Se você usar mensagens de texto SMS como um segundo fator para autenticação, transferir seu número para o novo telefone transferirá perfeitamente sua configuração 2FA também.

Alguns aplicativos autenticadores permitem que você gere códigos em vários dispositivos. 1Password e Authy ambos se enquadram nessa categoria. Configure o aplicativo no novo telefone, instale o aplicativo, faça login e, em seguida, verifique cada conta para confirmar que os códigos gerados no novo telefone funcionam corretamente. O Microsoft Authenticator permite que você faça backup de códigos na nuvem e restaure-os em um novo dispositivo. Para obter instruções, consulte “Faça backup e recupere as credenciais da conta usando o aplicativo Microsoft Authenticator”. 

Para o Google Authenticator e outros aplicativos sem frescuras, no entanto, você precisará recriar manualmente cada conta no novo dispositivo. Instale o aplicativo autenticador em seu novo dispositivo e repita o processo de configuração de cada conta usada com seu telefone antigo. Configurar uma conta em um novo aplicativo autenticador desativa automaticamente códigos gerados pelo dispositivo antigo.

A autenticação de dois fatores impedirá a maioria dos ataques casuais mortos em seus rastros. Mas não é perfeito. Um invasor determinado que está mirando diretamente em uma conta específica pode ser capaz de encontrar maneiras de contornar isso, especialmente se ele pode sequestrar a conta de e-mail usada para recuperação ou redirecionar chamadas telefônicas e mensagens SMS para um dispositivo que ele controla. Mas se alguém está tão determinado a invadir sua conta, você tem um problema maior.

FONTE: ZDNET

POSTS RELACIONADOS