Crédito: Freepik.com
Por Cris Botta*
A autenticação por dois fatores, ou em inglês Two-factor authentication (2FA), é um procedimento utilizado para aumentar a segurança para o usuário e suas informações e contas online. Procedimentos de segurança que utilizam dois fatores exigem que o usuário, além de fornecer uma senha, utilize um método a mais, como uma senha de uso único (OTP, ou one time password), um token (chave eletrônica), ou biometria.
Essa camada adicional de segurança faz com que seja muito mais difícil para um atacante ganhar acesso aos seus dispositivos e contas online, já que saber apenas a senha não é mais o suficiente para fazer login. Além disso, você estará protegido se houver um vazamento de senhas de algum serviço que você utiliza. A utilização de 2FA quase sempre impede que suas contas sejam invadidas, caso isto aconteça.
A clonagem de números de celular e o roubo de contas do WhatsApp (e de outros aplicativos de comunicação) estão se tornando cada vez mais comum. Lembra que eu escrevi acima “quase sempre”?
Justamente porque, caso seu número de celular seja clonado, os códigos que você recebe por SMS serão recebidos também pela pessoa que clonou o seu número. Além disso, SMS é um sistema que sofre de outros problemas de segurança. As mensagem não são criptografadas, então qualquer pessoa que estiver espionando a rede de telefonia pode vê-las, e pessoas que fazem a manutenção da rede também. Existem até casos de mensagens SMS que foram interceptadas e redirecionadas.
Para que a 2FA seja realmente segura, é necessário que um token (chave digital USB), ou um software que gere senhas de uso único, seja utilizado.
Atenção: nunca compartilhe com ninguém as senhas de uso único ou códigos que são recebidos por SMS. Se alguma empresa pedi-los, ignore a mensagem ou telefonema, e verifique diretamente com a empresa, por meio de algum canal oficial, se realmente existe algum problema.
Atenção: mantenha o seu número de celular privado, principalmente em perfis de redes sociais. Se você precisa de um número que seja público, considere a possibilidade de ter dois chips ou um número de telefone virtual. Mais sobre isso aqui.
O método mais comum de autenticação é um conjunto de login e senha, que é considerado uma informação que você sabe (fator de conhecimento). Na autenticação por dois fatores, uma coisa que você tem (fator de posse), ou uma coisa que você é (fator biométrico), é adicionado.
Fator de conhecimento: algo que o usuário sabe, como uma senha ou PIN. Perguntas de verificação, como nome da cidade que você nasceu, seu primeiro animal de estimação, nome de solteira da sua mãe, também se encaixam na categoria de conhecimento, mas este tipo de verificação é tão fraca, que nunca deveria ser utilizada.
Fator de posse: algo que o usuário tem, como um smartphone ou outro dispositivo móvel com um aplicativo que aprove o processo de autenticação (utilizando OTPs), ou um token (geralmente um drive usb com um software específico instalado). Muitos de vocês ainda devem se lembrar daqueles chaveirinhos que geravam senhas para acessar a conta bancária.
Fator biométrico: uma informação relacionada a atributos pessoais, como impressão digital, reconhecimento facial e reconhecimento de voz. Mais incomum, mas também utilizados, são padrões de comportamento, como ritmo de digitação e padrões de fala.
Alguns sistemas de autenticação por múltiplos fatores ainda usam fatores de localização e de tempo (horário) para permitir o acesso.
Atenção: a utilização de duas senhas/PIN (ou dois fatores biométricos, ou de posse) não é considerada 2FA, pois estão dentro da mesma categoria.
Você faz o login em um serviço ou aplicativo, usando seu nome de usuário e senha, como você sempre fez. Depois disso, se você estiver usando um aplicativo de autenticação (OTP), o serviço te pedirá um código de seis dígitos. Você abre o aplicativo, olha o código para aquela conta e o digita no campo. O smartphone não precisa estar conectado com a internet para gerar os códigos.
Se você está usando uma chave USB, o sistema te pedirá pra inserir o pendrive e depois apertar um botão. No celular, não é possível usar uma entrada USB, mas estes dispositivos possuem um sistema de aproximação NFC (near field communication), então é só encostar a chave USB no smartphone.
Instale um software para gerar senhas de uso único no seu smartphone. Para qualquer finalidade relacionada à segurança ou privacidade, é aconselhável usar apenas softwares livres e abertos. Eu recomendo para Android os apps andOTP e Aegis (eu uso esse, pois é possível usar senha e/ou biometria para acessar os códigos, e fazer backups e trocar de aparelho é fácil). Para iOS, recomendo o Tofu Authenticator.
Depois que o software tiver sido instalado, você precisa entrar nas configurações de segurança das contas nas quais você quer utilizar 2FA e procurar a opção para ativar ou modificar o método de 2FA. No caso dos softwares de OTP, o site vai gerar um QR code que precisa ser escaneado pelo aplicativo.
Atenção: Se seu aparelho for perdido ou roubado, você perde acesso às suas contas. Faça backups regulares em um local seguro. O Aegis tem a opção de fazer backups automáticos em uma pasta de sua escolha. Eu, por exemplo, faço meu backup em uma pasta que fica sincronizada com o meu computador e o do meu pai.
Primeiro é necessário adquirir uma chave eletrônica USB (na verdade é melhor adquirir duas e guardar uma em um local seguro, caso você perca a original). Os próximos passos dependem da marca da sua chave e dos serviços com os quais você irá utilizá-la, mas os passos básicos são parecidos.
Faça login na conta na qual você quer habilitar o uso da chave USB, entre nas configurações de segurança 2FA e procure a opção para ativar ou modificar o método de 2FA. Selecione a opção para o uso de chaveiro USB e siga as instruções na tela.
Atenção: Se você tiver duas chaves, geralmente é preciso ativar as duas ao mesmo tempo.
Notificação Push é uma forma de autenticação que não usa senha. A verificação é feita por meio de uma notificação enviada para algum aparelho do usuário, que aparece na forma de um alerta de tentativa de login. O usuário pode verificar os detalhes da tentativa, como horário, local, sistema operacional, e decidir se aprova ou não o acesso. Se for autorizado, o login é garantido para aquela sessão e aquele aparelho ou navegador.
Usando esse método, a autenticação é feita pela confirmação de que o aparelho registrado para a 2FA – geralmente um smartphone – está em posse do usuário. Apesar de esse tipo de notificação ser à prova de phishing, ataques de engenharia social (manipulação), e ataques de homem no meio (interceptação), se um atacante comprometer o aparelho, as notificações também serão comprometidas. Para este método funcionar, é necessário que o aparelho tenha uma conexão estável com a internet.
Habilitar a 2FA no WhatsApp e em outros aplicativos de comunicação é a melhor forma de impedir que sua conta seja clonada. O WhatsApp utiliza uma senha de seis dígitos para fazer a verificação. A senha só é pedida aleatoriamente, de tempos em tempos, ou se você reinstalar o WhatsApp ou trocar de aparelho.
– Para ativar, abra o WhatsApp e toque nos três pontinhos no canto superior direito
– Depois vá em Configurações → Conta → Verificação em duas etapas → Ativar
– Agora, defina e confirme sua senha de seis dígitos
– Um passo opcional é adicionar um e-mail de recuperação, caso você esqueça o PIN
– Toque em Confirmar
Os passos para habilitar o 2FA em outros apps de mensagem é bem parecido.
Atenção: Não use uma senha fácil de adivinhar (como 123456), e apenas adicione um endereço de e-mail se ele for seguro e tiver uma senha forte.
Links úteis:
https://twofactorauth.org/ → lista de sites e serviços com os tipos de 2FA que podem ser utilizados e com links para as instruções de ativação.
https://gus.computer/blog/2020/07/24/signal-numero-secundario/ → como criar e utilizar um número de telefone virtual.
*Cristina Botta é educadora no Espaço de Tecnologias e Artes do Sesc Vila Mariana. Possui graduação em Design Gráfico pelo Centro Universitário Belas Artes de São Paulo e fez mestrado em Mídias Digitais na Universidade de Artes de Bremen (Alemanha), onde focou sua pesquisa na área de games. É entusiasta do movimento maker e DIY, ativista do software livre e defensora da privacidade e liberdade na internet. Atualmente cursa bacharelado em Ciência da Computação.
Utilizamos cookies essenciais, de acordo com a nossa Política de Privacidade, para personalizar e aprimorar sua experiência neste site. Ao continuar navegando, você concorda com estas condições.