Autenticação de dois fatores: o que é isso e por que eu preciso disso para me proteger no mundo online?

Atualmente, todos nós passamos cada vez mais tempo na internet. Fazemos compras, transações bancárias, trabalhamos e jogamos. Tudo isso online. Mas nossas vidas digitais se tornam cada vez mais importantes e também cada vez mais expostas a riscos maiores. Os hackers estão em todos os lugares, prontos para roubar nossas identidades, limpar nossas contas bancárias e nos trancar para fora de nossos computadores. Por isso precisamos de precauções extras para proteger nosso mundo digital. Você deve ter ouvido falar da autenticação de dois fatores (2FA), ou até autenticação de múltiplos fatores (MFA) e se perguntou o que é.

 Na verdade, essa é uma ferramenta cada vez mais importante para se proteger de ações maliciosas no meio digital. A autenticação, juntamente com um software de segurança para seu computador ou dispositivo móvel e um gerenciador de senhas, forma um tipo de Santíssima Trindade da segurança digital. Veja o que você precisa saber.

Primeiro, por que isso é importante?

As violações de dados se tornaram cotidianas. Mais dados foram roubados no primeiro semestre de 2017 do que no ano todo de 2016. Essas violações atingiram algumas das maiores empresas do mundo: (Target, Home Depot, TJX); hotéis (Hyatt, Hilton); empresas da internet (Yahoo, eBay, LinkedIn) e muito mais. O resultado foi um roubo maciço de senhas e nomes de usuários usados para acessar as contas nessas empresas. Com essas credenciais, os bandidos podem sequestrar essas contas e também outras nas quais você usa a mesma senha para limpar sua conta bancária, localizar dados pessoais mais sensíveis e comprar bens e serviços em seu nome.

Há literalmente bilhões de credenciais violadas circulando na darkweb. No ano passado, o Yahoo confessou que uma violação de dados comprometeu as informações de três bilhões de usuários. E, em dezembro de 2017, um banco de dados roubado, que incluía 1,4 bilhões de nomes de usuário e senhas — o maior já registrado — foi encontrado em um site oculto, já totalmente configurado para uso por hackers.

O que isso significa? Usar uma senha segura certamente ainda é uma boa ideia, mas o fluxo constante de violações faz com que suas credenciais corram riscos e complicam a gestão da segurança de suas contas online. É nisso que a autenticação de dois fatores e a autenticação de múltiplos fatores pode ajudar.

Como funciona?

A autenticação de dois fatores é uma camada adicional de segurança para sua conta, dificultando o trabalho dos bandidos que querem acessar sua conta. Com a A2F ou 2FA, saber o nome de usuário e a senha não é suficiente para acessar a conta. Um segundo “fator” é necessário: algo que você conhece (por exemplo, o nome de solteiro da sua mãe); algo que você tem (por exemplo, um código enviado via SMS, por um aplicativo ou dongle); ou algo que é seu (por exemplo, sua impressão digital). Nosso foco aqui é o segundo tipo de A2F: o código, algo que muda constantemente ou perde a validade após o uso. Esse código pode ser enviado por mensagem de texto ou através de um aplicativo seguro no seu dispositivo/computador, ou seja, é quase impossível o hacker conseguir roubar.

Vamos analisar primeiro o aplicativo mais comum de A2F, que é também o mais fácil de usar.

Como faço para configurar esse aplicativo?

O Google Authenticator é o aplicativo A2F mais utilizado no mercado, graças à popularidade dos serviços do Google, como o Gmail e o Google Calendar. Este aplicativo gratuito para Android e iOS pode proteger não apenas a sua Conta Google, mas muitas outras contas não-Google, como Dropbox, Twitter e Facebook. É muito fácil configurar esse aplicativo:

  • Faça download do Google Authenticator no Google Play ou na App Store;
  • Para configurar a A2F, acesse sua Conta Google e vá em “Security and Sign-In” à “Two Step Verification” à “Authenticator App”;
  • Selecione o tipo de dispositivo (iPhone ou Android);
  • Abra o aplicativo do Google Authenticator e clique no botão +;
  • Na parte inferior da tela, escolha “Scan barcode” ou “manual entry” para conectar o aplicativo à sua conta do Google. A primeira opção vai pedir que você digitalize um código QR na tela do seu computador (ou seja, usando o scanner de código QR do aplicativo Google Authenticator). A segunda opção solicita um código de 16 dígitos enviado para o seu endereço de e-mail;
  • Ative a opção “Time-based”;
  • Depois disso, toda vez que você acessar sua Conta da Google, ela vai solicitar um código de seis dígitos. Abra o aplicativo Google Authenticator e o novo código único vai parecer. Esse código deve ser digitado no campo de A2F do site, aumentando sua segurança;
  • Para adicionar novas contas ao Google Authenticator, simplesmente ative a A2F nessa conta e depois faça de novo o processo de ativação do código QR.

Você acessa seu Gmail ou Google Calendar de qualquer aplicativo diferente dos fornecidos pela Google? Caso sim, você precisará gerar senhas específicas para os aplicativos. Isso ocorre porque os aplicativos podem não conseguir trabalhar com o aplicativo de autenticação da Google e solicitar o código ao efetuar o login. A criação de senhas específicas para um aplicativo permite que você use aplicativos que não estejam vinculados à Google (Outlook, por exemplo). Se o seu dispositivo sumir ou for roubado, você precisará revogar a senha específica do aplicativo para impedir o acesso não autorizado. Pense no assunto

E se eu perder meu celular ou notebook?

Se você perder o dispositivo com o aplicativo de autenticação, suas contas podem ser comprometidas se você não agir rapidamente. Se isso acontecer e você não tiver um PIN de bloqueio ativado, use outro de seus dispositivos equipados com um aplicativo como o Trend Micro Mobile Security, que você pode usar para bloquear ou resetar o dispositivo perdido. Resetar o dispositivo é uma decisão difícil, mas se acabar nas mãos erradas, alguém pode entrar nas suas contas, mudar suas senhas e efetivamente sequestrar seus acessos.

Em seguida, você precisa impedir que o aplicativo de A2F continue gerando códigos únicos. A maioria dos aplicativos de autenticação de dois fatores fornece essa solução justamente para esse tipo de caso. É interessante configurar seu novo dispositivo com um novo aplicativo de A2F. Dessa forma, se o ladrão conseguir obter algumas das suas senhas antes de você resetar/bloquear o dispositivo e depois tentar acessar suas contas, elas vão ser bloqueadas.

Configurar um novo dispositivo para gerenciar os códigos de autenticação de dois fatores não é muito difícil. O Google Authenticator, por exemplo, envia um código de backup quando os usuários se inscrevem pela primeira vez e pode ser usado no caso de um dispositivo perdido.

Observações: a maioria dos aplicativos de A2F só funcionam em um dispositivo por vez. Isso é feito para reduzir o tamanho do alvo que você representa para os bandidos. No entanto, o Authy pode ser executado em vários dispositivos, aumentando a flexibilidade.

Quantos aplicativos de autenticação de dois fatores existem?

A maioria dos sites populares atualmente tem a opção de ativar a A2F para proteger sua conta e o há vários aplicativos que podem ser usados para gerenciar seus logins com A2F. Não vamos listar todos, mas veja abaixo os mais populares:

Google Authenticator: conforme descrito, este é o mais conhecido e mais fácil de usar.

Microsoft Authenticator:  aplicativo de A2F gratuito que vincula suas contas online através do mecanismo de escaneamento de um código QR.

Authy: uma boa alternativa ao aplicativo da Google. Pode ser executado em vários aplicativos, então mesmo se você perder o equipamento ou for roubado — ou até mesmo se você for o tipo de pessoa que troca de aparelhos com frequência — você terá menos trabalho no geral.

Suporte da Trend Micro

Como mencionado, a autenticação de dois fatores é um fator adicional para a sua segurança, mas não é suficiente. Na verdade, para se proteger totalmente, você precisa de 1) software de segurança, 2) um gerenciador de senhas e 3) um autenticador. Somente com essas três medidas você pode garantir a melhor proteção de privacidade e identidade ao acessar contas online.

A Trend Micro pode ajudar com a primeira e a segunda. Nosso premiado software Trend Micro Security sempre recebe as mais altas classificações em testes de laboratório independentes e o Trend Micro Password Manager, parte do pacote do Trend Micro Maximum Security, ajuda os usuários a armazenar e gerenciar de forma segura suas credenciais online em qualquer local, em qualquer dispositivo e navegador. Ambos funcionam bem em conjunto com os principais aplicativos de A2F.

Assista aos vídeos para mais informações Trend Micro Security 2018 for Home.