Por que você deve começar a usar a autenticação de dois fatores agora
O que é, por que você deve ativá-lo e como fazê-lo funcionar para você?
A autenticação de dois fatores, também chamada de verificação de vários fatores ou de várias etapas, é um mecanismo de autenticação usado para verificar novamente se sua identidade é legítima.
Como funciona a autenticação de dois fatores?
Quando você deseja entrar em sua conta, é solicitado que você se autentique com um nome de usuário e uma senha – essa é a primeira camada de verificação. A autenticação de dois fatores funciona como uma etapa extra no processo, uma segunda camada de segurança, que reconfirmará sua identidade.
Seu objetivo é dificultar a vida dos invasores e reduzir os riscos de fraude. Se você já segue medidas básicas de segurança de senha, a autenticação de dois fatores tornará ainda mais difícil para os cibercriminosos violarem sua conta.
No entanto, você não deve esperar que funcione como uma varinha mágica que milagrosamente protegerá suas contas. Não pode manter os bandidos afastados para sempre, mas reduz suas chances de sucesso.
O que são fatores de autenticação?
Existem 3 categorias principais de fatores de autenticação:
1. Algo que você sabe – Pode ser uma senha, um código PIN ou uma resposta a uma pergunta secreta.
2. Algo que você tem – Isso está sempre relacionado a um dispositivo físico, como um token, um telefone celular, um SIM, um pendrive, um chaveiro, um cartão de identificação.
3. Algo que você é – Este é um fator biológico, como reconhecimento de rosto ou voz, impressão digital, DNA, caligrafia ou varredura de retina.
4. Fatores de tempo e localização também podem ser usados. Por exemplo, se você fizer login em sua conta e alguém tentar fazer login de um país diferente 10 minutos depois, o sistema poderá bloqueá-lo automaticamente.
Por que devo ativar a autenticação de dois fatores?
As senhas por si só não são tão infalíveis quanto precisamos que sejam. Os invasores cibernéticos têm o poder de testar bilhões de combinações de senhas em um segundo.
As respostas às perguntas de segurança também são fáceis de descobrir, especialmente agora que estamos compartilhando voluntariamente todos os detalhes sobre nossas vidas em redes sociais e blogs. Qualquer pessoa que interaja conosco diariamente pode descobrir as respostas para perguntas comuns de segurança, como o ano da formatura, a cidade em que você cresceu ou o nome do nosso primeiro animal de estimação.
Mesmo que você não os divulgue em seu perfil do Facebook, alguns podem ser encontrados por meio de registros públicos, disponíveis para quem quiser procurar.
É aqui que a autenticação de dois fatores é útil.
Oferecerá uma camada extra de proteção, além de senhas. É difícil para os cibercriminosos obterem o segundo fator de autenticação, eles teriam que estar muito mais perto de você. Isso reduz drasticamente suas chances de sucesso.
Alguns exemplos de métodos de autenticação de dois fatores que provavelmente você já está usando:
- O token emitido pelo seu banco, que gera um código específico para você em um horário específico – você o utiliza com seu nome de usuário e senha para Internet banking.
- Uma senha de uso único, que você recebe uma mensagem de texto em seu celular e a usa quando deseja fazer login em sua conta do Google, Facebook ou Twitter.
- Senhas aleatórias geradas por um aplicativo como Google Authenticator ou Facebook Code Generator que você usa para fazer login em seu e-mail ou conta de mídia social.
- Push Notification para autenticação de dois fatores. Sites e aplicativos agora podem enviar uma mensagem push para o usuário indicando que uma tentativa de autenticação está sendo feita. O proprietário do dispositivo lê facilmente as informações e, com um simples toque, aprova ou nega o acesso. É autenticação sem senha, sem códigos para inserir e nenhuma interação adicional necessária.
Aqui estão alguns exemplos de aplicativos móveis que você pode usar para autenticação de dois fatores:
- Google Authenticator (disponível para Android, iOS, Blackberry)
- Authy (para Android, iOS, mas também disponível como aplicativo de desktop e extensão de navegador)
- Autenticador da Microsoft (Windows Phone 7)
Esses aplicativos usam o algoritmo de senha de uso único com base no tempo (TOTP) . Eles irão gerar um código de seis dígitos exclusivo e sensível ao tempo, que você pode usar para fazer login em sua conta. Um código normalmente funcionará apenas por 30 segundos – depois disso, o aplicativo gerará um novo.
Após a configuração inicial, você pode usar o aplicativo sem uma conexão de rede.
Algumas das contas em que recomendamos que você ative o 2FA e como fazer isso:
1. Google/Gmail
Esta é provavelmente uma das contas mais importantes que você tem, e geralmente está vinculada a muitas outras – de redes sociais a lojas online, documentos de trabalho, informações pessoais, contas financeiras, impostos e assim por diante. Deve ser a primeira conta em que você ativa a verificação em duas etapas e certifique-se de aproveitar todas as opções de aprimoramento de segurança.
Depois de configurar a autenticação de dois fatores, você receberá códigos de seis dígitos por mensagem de texto em seu número de celular registrado. O Google solicitará que você insira o código sempre que quiser fazer login em um novo dispositivo. Você pode salvar cada novo dispositivo por 30 dias e, durante esse período, não precisará verificar novamente sua identidade nesse dispositivo.
Certifique-se de configurar também telefones e e-mails de backup, caso seus principais estejam indisponíveis.
Você também pode gerar códigos de backup – são códigos de 8 dígitos que você pode salvar e usar se viajar muito, tiver problemas com sua rede móvel ou simplesmente não puder usar o aplicativo móvel Google Authenticator. Cada código só pode ser usado uma vez.
Como alternativa, você pode obter códigos por meio do aplicativo móvel Google Authenticator. Funciona no Android, iPhone ou BlackBerry, mesmo quando o seu dispositivo não tem conectividade de dados ou telefone.
2. Facebook / Twitter / LinkedIn
As principais redes sociais também têm autenticação de dois fatores disponível.
O Facebook introduziu as Aprovações de Login em 2011. Esse recurso de segurança exige que você insira um código de seis dígitos sempre que quiser fazer login na sua conta do Facebook a partir de um novo dispositivo. Você receberá o código de segurança por mensagem de texto no seu celular.
Alternativamente, você pode ativar o “Code Generator”, um recurso integrado no aplicativo do Facebook que permite obter códigos de segurança em seu telefone.
O Twitter introduziu a verificação de login há alguns anos. Depois de fazer login, ele enviará uma mensagem SMS com um código que você precisa para acessar sua conta.
Se você perder o acesso ao seu celular, eles também fornecem um código de backup que você pode usar uma vez para verificar sua identidade.
O Linkedin também adicionou autenticação em duas etapas, que você pode (e deve) habilitar. Seu número de celular será usado para enviar códigos de verificação por mensagem de texto sempre que você quiser fazer login no LinkedIn a partir de um novo dispositivo.
3. Caixa de depósito
Se você estiver usando serviços em nuvem, também deve habilitar a autenticação de dois fatores para eles. Muito provavelmente, você armazena dados confidenciais na nuvem, certo?
Depois de habilitar a autenticação de dois fatores para o Dropbox, ele exigirá um código de segurança de seis dígitos ou uma chave de segurança sempre que você fizer login ou adicionar um novo dispositivo.
O Dropbox também enviará 10 códigos de backup de 8 dígitos, que você precisa armazenar em algum lugar seguro – você pode usá-los em caso de emergência, se não tiver mais acesso ao seu telefone.
Você também deve adicionar um número de telefone de backup.
Pode ser rachado?
Como todas as outras medidas de segurança, os métodos de verificação de múltiplos fatores também são vulneráveis a ataques .
Sua eficácia depende de muitas coisas, como o método de autenticação escolhido, a segurança do canal que é usado para entregar ou enviar o fator de segunda autenticação.
Alguns cenários ou técnicas que permitiriam a um invasor quebrar ou pular a segunda etapa de autenticação:
1. Eles poderiam ter acesso a ele. Eles podem roubar seu telefone, seu cartão, seu token. As mensagens de texto enviadas para o seu celular podem ser interceptadas.
2. Através de um ataque Man-in-the-Middle . Eles podem usar um cavalo de Tróia para manipular a comunicação entre você e seu navegador da Web e lançar o ataque contra o 2FA.
3. Com phishing em tempo real – o invasor solicitará a senha de uso único e a usará imediatamente. Os usuários do LastPass foram recentemente alvos de uma campanha de phishing severa, que nem mesmo a autenticação de dois fatores poderia ter evitado.
Segurança de senha básica
Lembre-se de que a autenticação de dois fatores não vale o esforço extra, a menos que você a use complementar a senhas fortes.
1. Use senhas fortes.
Devem ter pelo menos 12 caracteres, conter letras maiúsculas e minúsculas, números e símbolos.
Por senhas fracas queremos dizer:
- qualquer coisa que contenha a palavra “senha”, “admin”, “querty”, seu nome ou variações dela
- combinações de números fáceis de adivinhar (“1234”, “1234567890”, “2016”, “0000”, “11111”)
- o nome do seu cônjuge, o nome dos seus filhos ou animal de estimação ou datas de nascimento
- a senha padrão que seu provedor de serviços deu a você
- qualquer coisa desta lista das senhas mais populares ou engraçadas
2. Use senhas exclusivas.
Eles devem ser diferentes para cada conta sua. Nunca os recicle.
Dessa forma, se um invasor obtiver acesso a uma de suas contas, ele não poderá violar todas elas. É o mesmo princípio por trás de não usar a mesma chave para sua casa e seu carro – se você perder uma delas, um criminoso poderá arrombar a outra.
3. Altere suas senhas regularmente.
Nunca anote suas senhas – nem em um documento que você salvou na nuvem ou na área de trabalho, nem em um rascunho de correio, nem em uma nota manuscrita que você mantém na mesa.
Você pode usar um Gerenciador de Senhas – é um serviço que irá criptografar todas as senhas salvas. Dessa forma, você só precisará se lembrar de uma senha, a da sua conta de serviço do gerenciador de senhas.
Ter uma senha e uma autenticação de fator extra não torna sua conta 100% segura. Não é uma varinha mágica, que tornará sua conta inhackeável. Não, isso só torna mais difícil a violação.
Felizmente, um invasor passará para outro alvo, um que seja menos protegido, em vez de gastar muito tempo tentando violar seu fator de segunda autenticação.
Mas, à medida que os métodos de autenticação de dois fatores se tornarem mais populares, novas maneiras de os invasores decifrá-los também surgirão. É apenas como o jogo de segurança é jogado.
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware