Conforme vimos nos capítulos
anteriores, senhas roubadas, reutilizadas e fracas continuam sendo as principais causas de
violações de segurança,
daí a recomendação de utilizar a dupla camada de autenticação (MFA
ou 2FA).
Embora a
maioria das redes sociais — Facebook, Instagram, Twitter etc.
— e serviços providos por empresas como Google, Microsoft e Apple,
entre outros, suporta esse recurso, nenhuma delas o ativa por padrão, talvez
porque os usuários, em sua esmagadora maioria, priorizam a comodidade em
detrimento da segurança. Mas a prudência ensina que é melhor investir um minuto
na proteção dos dados do que perdê-los em um minuto.
No modelo de 2FA baseado em SMS, a senha de uso único (OTP) é enviada
por mensagem de texto para o número de celular cadastrado e, a exemplo do
procedimento adotado no 2FA baseado em soft-token/token de
hardware, deve ser informada para garantir o acesso ao aplicativo, serviço
ou seja lá o que for. Para atividades online de baixo risco, esse modelo está
de bom tamanho, mas deve ser evitado em transações via netbanking, compras
online, acesso a contas de email etc., dada a possibilidade de a mensagem de
texto ser interceptada pela bandidagem de plantão (a rigor, o SMS é
a forma menos segura de dupla autenticação).
O TOTP (código de uso único baseada em tempo) é a modalidade de dupla autenticação mais popular atualmente. A exemplo das senhas geradas por tokens de hardware, os códigos criados por aplicativos só podem ser usados uma única vez, e sua validade expira em menos de 1 minuto. Apps de 2FA estão disponíveis para Windows, MacOS, Android, iOS etc.
Em algumas versões, em vez informar a senha gerada
pelo aplicativo, o usuário autoriza a
tentativa de acesso de autenticação (ou nega, caso não tenha partido
dele) a partir de uma mensagem recebida através do aplicativo. Essa modalidade
evita erros de digitação e que tais, mas exige um celular ou outro dispositivo
capaz de acessar a Internet (para a instalação do aplicativo), razão pela qual,
a despeito de ser menos segura, a 2FA via SMS é mais indicada em áreas
onde o sinal das operadoras de celular e ou de Internet são fracos e instáveis.
Na 2FA baseada em biometria, o próprio usuário faz
o papel de token, pois a autenticação é feita a partir de reconhecimento facial
ou de voz, escaneamento de íris ou, mais comumente, de impressões digitais. Resta saber até quando essas
muralhas, hoje “intransponíveis”, resistirão à criatividade dos cibervigaristas.
Para mais informações e download, visite TwoFactorAuth.org.
Para baixar o app Authy 2FA para iOS, Android ou Desktop,
clique aqui ;
para aprimorar a segurança de sua conta no Twitter, clique aqui; para saber como habilitar o 2FA para seus
sites favoritos, clique aqui;
para noções básicas sobre 2FA, clique aqui; para entender melhor como funciona o recurso de
vários dispositivos do Authy 2FA, clique aqui.
