Precisamos falar sobre múltiplo fator de autenticação

byAbilio Simeão - 0 Comentários
muti-factor authentication


Conforme nossa vida se torna cada vez mais digital, mais e mais produtos e serviços on-line que usamos vão coletando mais informações sensíveis e privadas sobre nós.

Apesar de algumas pessoas ainda não darem a devida importância a nossas informações privadas e digitais nestes serviços, elas podem revelar muito de nossas vidas, como por exemplo:
  • Endereço do trabalho e residência
  • Trajeto diário e lugares frequentados, incluindo data e hora
  • Troca de informações sensíveis por e-mail ou mensagens instantâneas.
  • Acesso à transações financeiras
  • Fotos
Este cenário de privacidade online tende a se agravar ainda mais, então é muito importante estar atento ao controle de acesso de informações pessoais. O método mais eficiente atualmente é quando usamos mais de um fator, o que vamos falar a seguir.


O múltiplo fator de autenticação

Um conceito de segurança da informação é que para um método de autenticação seja forte, ele deve ser baseado em mais de um fator. Os três fatores são:

O que você sabe

Baseado em alguma informação que só você sabe, como por exemplo, sua senha, ou uma pergunta secreta.
Problemas em usar só este fator: caso alguém tenha acesso à ele, como acontece em alguns casos de vazamentos de senhas por exemplo, ele terá o acesso concedido.

O que você possui

Baseado em algum dispositivo de sua posse exclusiva, como seu telefone, ou uma tabela de senhas bancária.

Um problema em usar só este fator é que caso alguém tenha acesso ao seu dispositivo, em caso de roubo ou furto por exemplo, ele terá o acesso concedido.

O que você é

Baseado em alguma característica biológica, e aqui temos alguns exemplos. O desbloqueio de telefone por digitais, encontrado com grande facilidade em telefones atuais é um caso. Uma característica sua, como sua impressão digital é usada para ter acesso. Outros são: leitores de íris ou retina, desbloqueios faciais e etc.

Problemas em usar só este fator: apesar de mais difícil, é possível forjar alguma característica sua. Por exemplo, alguns aparelhos que oferecem leitores faciais podem ser enganados pelo uso de uma foto do proprietário. Sistemas de reconhecimentos por voz podem ser enganados também por um bom imitador.


Utilizando o múltiplo-fator de autenticação

Utilizar dois de três fatores já eleva significativamente o nível de segurança do acesso. Mesmo que você forneça sua senha (por favor, não faça isso, é só um exemplo!!), esta pessoa precisaria ter acesso ao segundo fator.

O primeiro fator mais utilizado é o que você sabe, geralmente a senha que você usa para acessar algum serviço. O segundo fator que tem se tornado mais comum é o que você tem, principalmente pela sua conveniência. Se você é usuário de banco por exemplo, certamente já o usa. Sempre que necessário efetivar uma transação, irá receber um SMS para confirmar a transação, baseado no fato de que teoricamente só você tem acesso ao seu telefone.

Teoricamente pois tem se tornado cada vez mais comuns, casos de clonagem de linhas telefônicas para ter acesso a SMS de autenticação, então prefira sempre que possível, o uso dos meios que falaremos mais a seguir, ao invés do uso do SMS. Conforme mais e mais serviços encorajam seus usuários a habilitarem o uso de validação por SMS, golpistas tem buscado maneiras de ter acesso às contas.

Muitos serviços como Google, Facebook, Microsoft, Amazon, entre outros, oferecem esta opção, e alguns encorajam fortemente seus usuários a adotá-lo.


Como ativar

A ativação dependerá bastante do serviço, mas como o Google é um serviço bastante utilizado, e tem bastante informação sensível e privada sobre seus usuários, vamos usá lo como exemplo.
Basta ir até https://myaccount.google.com/security e selecionar a opção "Verificação em duas etapas".


google login
E a seguir, existem duas possíveis opções. Receber códigos e via SMS ou usar um App de autenticação. Recomendo a segunda opção, devido a alguns golpes que já estão acontecendo para sequestrar contas com esta funcionalidade. Se optar por utilizar o telefone, conclua esta etapa. Você irá informar seu telefone, receberá um SMS de validação e está feito.


Mas se preferir ter uma segurança ainda maior, vamos para a próxima seção.


Segundo fator de autenticação via App

O segundo fator via App traz duas vantagens importantes:
  • Garantem que o segundo fator seja realmente, o que você tem. Golpistas poderão ter acesso à sua linha por clonagem, mas não ao seu App.
  • Pode ser usado off-line, ao contrário do SMS.

Algumas opções de aplicativos são:

Google authenticator

google authenticator
Mais simples e limitado de todos.
Vantagens:

  • Fácil de usar
Desvantagens:

  • Não possui backup online, é preciso ter as chaves de recuperação salvas. Se perder o acesso ao App por algum motivo (resetar um telefone por exemplo), não será possível ter acesso aos códigos de autenticação.
  • Poucas atualizações e incrementos.

Microsoft authenticator

microsoft authenticator
Fornecido pela Microsoft, simples, fácil de usar, e com algumas funcionalidades.

Vantagens:

  • Fácil de usar.
Desvantagens:

  • Se alguém tiver acesso a sua conta da Microsoft, terá acesso a todos os seus tokens.

Authy

authy
Bem completo, com opções de controle de acesso ao aplicativo e backup entre dispositivos, além de uma versão para desktop.


Vantagens

  • Backup online com senha mestra
  • Sincronia entre dispositivos
  • App para desktop.
Desvantagens

  • Não achei nenhuma.

E aplicativos de troca de mensagens como o WhatsApp e o Telegram?

Estes aplicativos realizam autenticação pela mensagem de SMS para garantir que o proprietário da linha esta´realmente solicitando. O grande problema é que tem se tornado cada vez mais comuns os golpes baseados em SIM Swap, onde a vítima tem sua linha clonada.

A boa notícia é que os aplicativos mais populares, incluindo WhatsApp e Telegram, possuem a opção de habilitar o segundo fator, que neste caso seria um PIN (código numérico) ou uma senha. Com esta funcionalidade habilita, em caso de golpe de clonagem, o golpista precisará também da código de acesso.

Para ativar no WhatsApp: https://faq.whatsapp.com/pt_br/android/26000021/
Para ativar no Telegram: https://telegram.org/faq/br#p-como-funciona-a-verificao-em-duas-etapas



Concluindo

Cada vez mais geramos mais informações ainda mais sensíveis sobre nosso hábitos, preferências e etc. O acesso a estas informações pode causar muita dor de cabeça, principalmente se feito por pessoas má-intencionadas, podendo incluir roubo de identidade, extorsões entre outros problemas.

Somado a isso, cada vez vez assistimos a vazamentos de bases de dados completas com usuários e senhas, oriundos de vulnerabilidades em sistemas.


Habilitar um segundo fator de autenticação será cada vez mais uma necessidade. Se você não habilitou ainda, não perca mais tempo.

Abilio Simeão

Comente

Postar um comentário

Postagem Anterior Próxima Postagem