Quais tipos de autenticação de dois fatores existem e quais devem ser preferidos.
Em nosso último post, abordamos o que é autenticação de dois fatores e por que você precisa dela. Em poucas palavras, é um mecanismo de validação de acesso que depende de dois métodos de autenticação essencialmente diferentes.
Os usuários precisam de autenticação de dois fatores para uma proteção mais confiável de suas contas: embora cada método de autenticação individual seja vulnerável, dois (ou mais) deles usados juntos tornam a invasão de contas muito mais difícil.
Neste post, abordo as opções de autenticação multifator disponíveis, mostro os prós e contras de cada uma e recomendo as mais seguras para você manter suas contas seguras.
Códigos únicos entregues por SMS, e-mail ou chamada de voz
Um dos mecanismos de autenticação de dois fatores mais comuns para validação de login são os códigos de uso único. Eles geralmente são enviados em uma mensagem de texto para o número de telefone especificado durante o registro. O e-mail também pode ser usado para isso, mas é menos popular. Os principais serviços geralmente também fornecem a opção de uma chamada de voz para o número de telefone especificado no registro.
Seja qual for o canal de entrega usado, a ideia é a mesma: verificar sua capacidade de obter acesso a alguma outra conta ou número de telefone que você especificou ao se inscrever no serviço. Assim, se alguém roubar sua senha sem ter acesso ao seu telefone, essa proteção funcionará perfeitamente.
Mas esse mecanismo de autenticação de dois fatores tem suas desvantagens. Se o e-mail for usado para confirmar o login, e a senha para fazer login for a mesma da conta que você está tentando proteger, você terá uma segurança extra muito limitada. Um invasor que sabe a senha da conta certamente tentará essa senha para fazer login no seu e-mail também — obtendo assim o código de validação único.
A validação por meio de número de telefone — seja por SMS ou chamada de voz — tem um problema diferente: é fácil perder o acesso a ele. Às vezes, os usuários simplesmente esquecem de recarregar a conta do telefone, ou perdem o telefone ou mudam o número.
Também não é incomum que criminosos persuadam as operadoras de telecomunicações a darem a eles um cartão SIM com o número de telefone da vítima, obtendo assim acesso a códigos de validação. Além disso, as mensagens de texto podem ser interceptadas — casos como esses já foram relatados .
Resumo: essa opção de autenticação de dois fatores dá conta do recado, mas para proteger as contas mais valiosas — especialmente aquelas relacionadas a finanças — é melhor usar algo mais confiável.
Senha como segundo fator
Às vezes, a senha não é o primeiro, mas o segundo fator. É o que os mensageiros costumam fazer: por padrão, para entrar, basta digitar o código único do SMS. A senha geralmente é opcional. Opcional, mas necessária, se você me perguntar. Ela vai te proteger contra um monte de problemas potenciais de uma só vez.
Mais importante, ele protegerá sua correspondência de perda acidental de acesso ao número de telefone que você usou para se registrar no WhatsApp ou Telegram. Suponha que você mudou seu número de telefone principal e colocou seu antigo cartão SIM em uma gaveta e não pagou por ele por um longo tempo. A operadora revenderá seu número depois de um tempo, permitindo assim que o novo proprietário faça login no mensageiro em seu nome — a menos que ele esteja adicionalmente protegido com uma senha, é claro.
E com certeza, a senha dará à sua conta do Messenger pelo menos alguma proteção contra sequestradores que — de uma forma ou de outra — obtiveram acesso ao seu número de telefone.
Lista pré-gerada de códigos únicos
Outra opção que você pode encontrar é uma lista de códigos únicos pré-gerados. Às vezes, os bancos emitem essas listas para seus clientes para confirmar transações, enquanto alguns serviços de internet (como o Google) permitem usá-las para recuperação de conta.
Isso pode ser considerado um mecanismo confiável: tais códigos são transmitidos ao usuário extremamente raramente, então há um mínimo de oportunidades de interceptação. Os códigos são aleatórios, o que significa que são únicos, então adivinhá-los é quase impossível.
Mas há o problema do armazenamento: se invasores conseguirem roubar sua lista de códigos pré-gerados, será extremamente fácil sequestrar sua conta ou roubar dinheiro dela.
Portanto, códigos de confirmação de uso único devem ser armazenados em um cofre ou em sua contraparte eletrônica. Por exemplo, há notas criptografadas no Kaspersky Password Manager . Se você salvar a lista de códigos de uso único nessas notas, elas serão protegidas com segurança, desde que, é claro, você defina uma senha mestra boa e exclusiva para o próprio Kaspersky Password Manager.
No entanto, a principal inconveniência desse método de autenticação é que, se você precisar de verificações com frequência, ficará sem seus códigos pré-gerados rapidamente. O que significa que você terá que gerar e salvar mais e mais novos. Se mantiver várias contas, você ficará facilmente confuso com todas essas listas. Portanto, os códigos pré-gerados como o principal método de autenticação foram substituídos por códigos gerados mediante solicitação — exatamente quando você precisa deles.
Códigos únicos de um aplicativo autenticador
A geração “on the fly” de códigos únicos é feita por autenticadores. Às vezes, eles podem ser dispositivos autônomos com uma pequena tela que exibe o código atual — alguns bancos fornecem esses autenticadores aos seus clientes.
Mas hoje em dia aplicativos autenticadores especiais executados em smartphones são mais populares do que dispositivos autônomos. Temos uma série de postagens sobre eles:
Aplicativos autenticadores e como eles funcionam
Melhores aplicativos de autenticação para Android, iOS, Windows e macOS
Autenticação com códigos únicos: prós e contras
O que fazer se você perder seu telefone com um aplicativo autenticador
Então, se estiver procurando informações sobre como esse método de autenticação funciona, como selecionar um aplicativo autenticador e o que ter em mente quando tiver um, siga os links acima. Enquanto isso, aqui, vou apenas declarar brevemente que os aplicativos autenticadores oferecem um ótimo equilíbrio entre conveniência e segurança — tornando-os cada vez mais populares.
Biometria: impressão digital, rosto ou voz
Não muito tempo atrás, para a maioria das pessoas, autenticação biométrica era algo exótico. No entanto, as coisas mudaram bem rápido: a maioria dos smartphones agora tem a capacidade de autenticar por impressão digital ou reconhecimento facial — e isso não é nenhuma surpresa.
Mas alguns métodos biométricos podem parecer incomuns: autenticação baseada em hábitos de voz, íris, andar e digitação. Quanto aos mais originais, podemos lembrar de pesquisas sobre autenticação baseada em odores (embora não funcione muito bem)!
A autenticação biométrica tem algumas desvantagens sérias. Primeiro: todas as características nas quais ela se baseia são propriedades permanentes do usuário. Você pode alterar uma senha comprometida — você pode até mesmo fazer isso várias vezes por uma questão de segurança. Mas uma impressão digital registrada pode ser alterada apenas um número limitado de vezes — as tentativas podem ser contadas literalmente nos dedos de duas mãos.
A segunda questão importante consiste no fato de que dados biométricos são extremamente sensíveis — tanto por serem inalteráveis quanto porque permitem não apenas autenticar um usuário, mas também identificar uma pessoa. Portanto, a coleta e a transferência desses dados para serviços digitais devem ser tratadas com extrema cautela.
É por isso que os dados biométricos são normalmente usados para autenticação local: armazenados e processados no dispositivo para evitar transmiti-los para qualquer lugar. Para autenticação biométrica remota, o serviço digital teria que confiar no fornecedor do dispositivo, o que os serviços normalmente não querem fazer. O resultado líquido é este: apenas a Apple tem um mecanismo de autenticação biométrica remota de valor total, porque a empresa tem controle total sobre seu ecossistema — do desenvolvimento de software até a fabricação do dispositivo.
Mas a autenticação biométrica tem uma vantagem importante que supera suas desvantagens. Se implementada corretamente, ela torna a vida dos usuários muito mais simples: chega de digitar — basta pressionar o dedo no sensor ou mostrar seu rosto para a câmera. E é bastante confiável também — novamente, se implementada corretamente .
Localização
Mais um tipo de autenticação de usuário é a localização. Você não precisa ativar esse método: ele está ativado por padrão. É por isso que ele geralmente passa despercebido, com a pessoa sendo alertada apenas se não for bem-sucedida: ou seja, se uma tentativa de login vier de um local que o serviço não esperava. Nesse caso, o serviço pode exigir o uso de um método de verificação adicional.
Claro, a localização não é um fator de autenticação muito confiável. Primeiro, não é muito único: muitas outras pessoas podem estar no mesmo lugar a qualquer momento. Segundo, é bem fácil de manipular, especialmente quando se fala de localização baseada em IP — não de geolocalização GPS adequada. No entanto, a localização pode ser usada como um dos fatores de autenticação , e muitos serviços fazem isso.
Chaves de hardware FIDO U2F (também conhecida como YubiKey)
As opções de autenticação descritas acima têm uma grande desvantagem: elas permitem autenticar o usuário, mas não o serviço. O que as torna vulneráveis aos ataques MitM (man-in-the-middle).
Os invasores podem construir uma página falsa imitando de perto o mecanismo de login do serviço real. Depois que o usuário envia seu login e senha, os criminosos prontamente os usam para fazer login no site real. O código de verificação será a próxima coisa que o usuário será solicitado a fornecer — e em nenhum momento ele será usado para assumir o controle da conta da vítima.
Para lidar com esse tipo de ameaça, foram criadas as chaves FIDO U2F, também conhecidas pelo nome de seu modelo mais popular — YubiKey. A principal vantagem desse método consiste no fato de que, durante o registro, o serviço e a chave U2F lembram certas informações que são únicas para cada serviço, bem como para cada usuário. Mais tarde, durante a autenticação, o serviço deve enviar uma solicitação específica para a chave, à qual a chave responderá somente se essa solicitação estiver correta.
Assim, ambos os lados dessa comunicação entendem se ela é legítima ou não. Além disso, esse mecanismo de autenticação é baseado em criptografia de chave aberta, então todo o processo é bem protegido contra falsificação, interceptação e ameaças semelhantes.
Mais uma vantagem além disso: embora a tecnologia seja bastante sofisticada e use criptografia hardcore “por baixo do capô”, tudo parece muito simples na superfície — do ponto de vista do usuário. Basta conectar a chave em uma entrada USB (ou segurar no seu smartphone — essas chaves geralmente suportam NFC ) e tocar em um sensor pad na chave com seu dedo para concluir a autenticação.
Usar chaves de hardware U2F é o método de autenticação mais confiável disponível hoje e uma opção recomendada para contas valiosas. É isso que eles fazem no Google: todos os funcionários da empresa usam essas chaves para suas contas corporativas há mais de cinco anos .
FIDO Passkeys: futuro presente sem senhas
Não é fácil, mas ainda é possível fazer com que todos os funcionários dentro da sua organização usem chaves de hardware para autenticação. No entanto, o método dificilmente é adequado para milhões de usuários regulares da internet. Pessoas comuns geralmente ficam incomodadas com a mera ideia de autenticação de dois fatores, muito menos pagar por algum equipamento especial.
É por isso que a mesma FIDO Alliance, a criadora das chaves U2F, desenvolveu um novo padrão de autenticação que usa “passkeys” no lugar de senhas. Em termos simples, a tecnologia é quase a mesma das chaves U2F, exceto que você não precisa de nenhum dispositivo especial para armazenar os dados de autenticação.
Você pode armazenar chaves de acesso basicamente em qualquer lugar — smartphone, computador, perfil de usuário do navegador ou — à moda antiga — uma chave USB. Você pode escolher sincronizá-las pela nuvem ou não sincronizá-las, se optar pelo modo de senha única.
Essa longa lista de opções de armazenamento torna as chaves de acesso um pouco menos seguras, obviamente. O quanto menos — isso depende de qual combinação de equipamentos e serviços você usa.
Para compensar, os usuários têm essa vantagem valiosa: as chaves de acesso não complementam as senhas de conta, elas as substituem . Além disso, essa autenticação ainda é multifatorial: além de possuir um dispositivo usado para armazenar suas chaves de acesso, você tem que validar o login usando biometria (se seu gadget suportar) ou PIN para desbloquear seu dispositivo. Como você pode ver, você não pode ficar completamente sem senhas em alguns casos, mas pelo menos as chaves de acesso reduzem muito o número delas.
O principal problema da iniciativa é que até agora ela é como uma colcha de retalhos. Diferentes plataformas e serviços usam abordagens muito diferentes para armazenamento de dados, autenticação de usuários e segurança como um todo. Então, em vez de apenas um método, vários métodos diferentes são usados, variando muito em termos de confiabilidade.
Então seria um pouco prematuro mudar para chaves de acesso completamente. Mas você já pode experimentar com elas: há um tempo atrás o Google anunciou suporte total para chaves de acesso por contas do Google , então se estiver interessado, qualquer um pode ver como funciona na vida real.
Quais métodos de autenticação de dois fatores são melhores e outras coisas a lembrar
Para concluir, os pontos principais:
Em 2023, a autenticação de dois fatores não é mais um luxo, mas sim uma necessidade vital. Use-a sempre que possível.
Qualquer método de autenticação de dois fatores é muito melhor do que nenhum.
Aplicativos autenticadores são ideais para autenticação bidirecional.
Uma chave de hardware FIDO U2F — Yubico YubiKey, Google Titan ou outra — é uma opção ainda melhor. Especialmente para contas de alto valor.
Você já pode experimentar chaves de acesso, mas parece um pouco cedo para adotar totalmente a tecnologia.
Portanto, ainda é essencial usar senhas com cuidado: escolha senhas complexas, não as reutilize para vários serviços e mantenha-as seguras usando um gerenciador de senhas.
E, claro, não se esqueça de que a maioria dos métodos de autenticação de dois fatores (além de U2F e passkeys) são vulneráveis a phishing. Portanto, use uma solução confiável que remova essa ameaça automaticamente, como o Kaspersky Premium.
Publicado originalmente em https://www.kaspersky.com/blog/types-of-two-factor-authentication/48446/
