DE VOLTA À AUTENTICAÇÃO EM DOIS FATORES

NÃO SOU PRECONCEITUOSO, MAS SUPERIOR.

Diz um velho ditado que o que abunda não excede; outro, que é melhor pecar por ação que por omissão; outro, ainda, que seguro morreu de velho. Então vamos lá:

A vaza-jato, como ficou conhecido o vazamento de mensagens obtidas de forma criminosa (mediante hackeamento de aproximadamente 1000 smartphones de autoridades) e divulgadas seletivamente pelo site Intercept, trouxe preocupação a usuários de aplicativos mensageiros, como o Telegram e o WhatsApp.

Uma das maneiras de aprimorar a segurança desses programas (e de diversos serviços online) é a dupla autenticação, até porque não é boa política confiar apenas numa simples senha alfanumérica, não importa quão segura ela pareça ser — menos pela "insegurança" propriamente dita das senhas e mais pela negligência dos usuários, que não raro criam senhas robustas — isto é, difíceis de memorizar —, mas as anotam num post-it que candidamente colam na moldura do monitor do PC, por exemplo.

Outras prática a evitar, a despeito da comodidade que ela proporciona (conforto e segurança raramente andam de mãos dadas), é usar a mesma senha para se logar em diversos serviços — e, pior ainda, salvá-la no navegador, para que seja preenchida automaticamente sempre que necessário. Mesmo que só você utilize seu PC (ou smartphone, que não deixa de ser um computador), bisbilhoteiros não faltam, e alguém sempre pode se aproveitar... enfim, acho que já me fiz entender.   

O sequestro de contas em redes sociais tem sido uma prática recorrente, e uma maneira de dificultá-lo é justamente a autenticação em dois fatores (conforme já frisei uma porção de vezes, mas volto a repetir em atenção aos recém-chegados). Por autenticação de dois fatores (ou 2FA), entenda-se a criação de uma camada adicional de segurança de login, que visa limitar ao legítimo usuário o acesso a um aplicativo ou serviço, mesmo se alguém descobrir a senha. O segundo fator é um código de segurança que não precisa ser memorizado, pois é criado aleatoriamente a cada login e pode ser recebido por SMS ou email, ou mesmo gerado num aplicativo (soft token) ou num dispositivo específico para esse fim (hard token).

Apps de troca de mensagens, como os populares WhatsApp e o Telegram, oferecem nativamente o recurso, mas é preciso ativá-lo para uso. Em smartphones com Android 7 e versões superiores pode ser usado como chave de segurança um mecanismo que combina a localização do GPS com o sensor de proximidade conectado pelo Bluetooth. As contas no Facebook e Instagram também oferecem a opção, e uma maneira universal de gerar o código de segurança é recorrer ao aplicativos Google Authenticator e Microsoft Authenticator. Os dois funcionam como geradores de códigos aleatórios para proteger as contas de redes sociais, email, entre outros tipos de serviço online.

Atualmente diversos mecanismos de controle de acesso suportam a autenticação de dois fatores, mas, de novo, é preciso ativar essa segunda camada de segurança. Convém fazê-lo o quanto antes; depois não adianta chorar.

AINDA SOBRE A AUTENTICAÇÃO EM DUAS ETAPAS

AO MEDO DOS PODERES INVISÍVEIS, INVENTADOS OU IMAGINADOS A PARTIR DE RELATOS, CHAMAMOS RELIGIÃO. 

Windows, Gmail, Facebook, WhatsApp, Telegram e mais uma vasta gama de apps e webservices se tornam mais seguros com a autenticação em dois fatores, que exige comprovação de identidade por mais de um método. Com ela, além de descobrir sua senha principal, um invasor precisará do token (código numérico gerado automaticamente e vale para um único acesso) que é enviado para o seu celular, endereço de email ou outro método secundário de autenticação que você definiu durante a ativação da 2FA.

Observação: Clique aqui para saber como ativar a dupla autenticação no WhatsApp; no Telegram, em Configurações, selecione Privacidade e Segurança > Verificação em duas etapas > Configurar senha adicional, defina uma senha de acesso, toque no botão exibido na parte de cima da tela para avançar, confirme a senha, crie uma dica de senha, informe um endereço de email (para facilitar a recuperação da senha) e, na tela seguinte, digite o código que lhe foi enviado por email (para confirmar que você tem acesso a ele) e toque novamente no botão com ícone de visto na parte de cima.

Receber o token via SMS é prático, mas “torpedos” são facilmente interceptáveis. Aliás, causa espécie a insistência das empresas em mandar dados importantes por SMS, considerando a quantidade de falhas conhecidas da rede SS7 (Sistema de Sinalização 7), utilizada para gerenciar ligações telefônicas e mensagens de texto, e o fato de que a maioria delas não foi corrigida pelas operadoras. E como tanto o iPhone como os smartphones Android podem exibir notificações de mensagens na tela de bloqueio, recomendo enfaticamente desativar essas notificações. Veja como:

- No iPhone, para impedir a visualização de notificações na tela sem que seja preciso desbloquear o aparelho, toque em Ajustes > Notificações > Mostrar Pré-visualizações e mude a configuração de “Sempre” para “Quando desbloqueado” ou “Nunca”. 

- No Android, o caminho pode variar um pouco conforme a versão, mas, em linhas gerais, basta tocar em Configurações > Notificações > Mensagens e explorar as opções disponíveis.

Para ativar, alterar ou desativar o PIN do SIM no iPhone, toque em Ajustes > Telefone > PIN do SIM; se o sistema do seu aparelho for o Android, toque em Configurações > Segurança > Bloqueio do cartão SIM e siga as instruções (pode haver variações conforme a versão do Android). Se você não souber o PIN, não tente adivinhá-lo. Depois de 3 tentativas incorretas (o número de vezes pode ser maior, dependendo da operadora), o chip é bloqueado e só será liberado mediante o PUK, que funciona como uma “chave-mestra”. 

O SIM Card vem num cartão de papelão onde constam algumas informações, dentre as quais PIN e o PUK. Como a gente nem sempre guarda esse cartão em local certo e sabido, nem sempre o encontra se e quando precisa usar o PUK para destrancar o PIN (convém anotar o número em outro local). 

O PIN — de Personal Identification Number — é uma senha de 4 dígitos que bloqueia ou desbloqueia o SIM Card. Por padrão, a Claro usa 3636; a Oi, 8888; a TIM, 1010, e a Vivo, 8486. Para prevenir acessos não autorizados, convém substituí-lo por uma senha pessoal, também de 4 dígitos. 

O PUK (de Pin Unlock Key) é a "chave" que "destrava" o SIM Card se o PIN for digitado incorretamente três vezes seguidas. Em alguns casos, os quatro primeiros dígitos servem de senha para outros recursos (como acesso à caixa postal, por exemplo), e se houver PUK 1 e PUK 2, o primeiro desbloqueia o PIN 1 e o segundo, o PIN 2. 

O PIN 1 é a senha principal de acesso ao telefone e que bloqueia ligações, SMS e chamadas de emergência; o PIN 2 costuma servir de alternativa e também para bloquear determinados serviços oferecidos pela operadora.

Por padrão, o PIN do SIM vem desativado, e há quem o deixe assim para não ter o trabalho de digitar o código sempre que ligar ou reiniciar o telefone — ou quando transferir o chip para outro dispositivo. No entanto, além de impedir o uso do aparelho por terceiros, essa camada adicional de proteção evita que pessoas não autorizadas visualizem tokens de verificação em duas etapas enviados via torpedo (SMS). Para não ingressar no lado negro das estatísticas, sugiro habilitar esse recurso. 

Observação: Após 10 tentativas incorretas de digitar o PUK (ou menos, conforme a operadora), o SIM Card é bloqueado definitivamente, e o jeito será adquirir um novo chip numa loja credenciada pela operadora — isso se você quiser manter o mesmo número de telefone; do contrário, caso sua linha seja pré-paga, basta comprar um chip (com outro número) em qualquer loja que comercialize celulares e acessórios.

Lembre-se: A segurança é um hábito, e como tal deve ser cultivada.