A autenticação de dois fatores torna impossível para os hackers invadir suas contas com força bruta e até protege você se os hackers obtiverem sua senha. Pode até ajudar a bloquear sua conta se suas credenciais tiverem sido falsificadas no passado.
Em resumo, a autenticação de dois fatores (Master-Bit) é importante.
Mas qual modelo de autenticação de dois fatores você deve escolher? Quase todos os serviços oferecem senhas únicas via mensagem de texto entregue no seu telefone. Muitos também fornecem senhas únicas geradas no seu dispositivo móveis.
Alguns serviços oferecem a opção de conectar um dispositivo de hardware, e há trocas entre as opções. Este blog explica quais são essas opções, o que você deve ter cuidado e o que é melhor para você.
Por que a autenticação de dois fatores é superior?
É difícil, se não impossível, notar uma senha quebrada ou roubada. Uma senha roubada ou quebrada permite que um invasor acesse sua conta por qualquer período de tempo, despercebido ou o bloqueie completamente.
Da mesma forma, depender apenas de um dispositivo para efetuar login pode torná-lo vulnerável a hackers, se ele for roubado. Embora você perceba mais rapidamente que está comprometido.
Combinar algo que você sabe e algo que você tem juntos, no entanto, torna muito menos prejudicial se sua senha for quebrada ou se o seu dispositivo for roubado. Se você perder o dispositivo, o ladrão ou o localizador não conseguirão acessar suas contas sem uma senha. E se sua senha estiver quebrada, ninguém poderá acessar sua conta sem o dispositivo.
Fatores a serem considerados ao escolher a autenticação de dois fatores
A teoria da autenticação da identidade geralmente define três fatores:
- Algo que você sabe
- Algo que você tem
- Algo que você é
Geralmente, os usuários na internet são identificados por meio de algo que sabem. Geralmente, essa é uma senha, mas também pode ser uma pergunta de segurança.
Os riscos de “algo que você conhece” são que você pode esquecer ou não é o único que sabe, por exemplo, porque você compartilhou o conhecimento voluntária ou involuntariamente. Também pode ser possível que terceiros obtenham esse conhecimento por outros meios, talvez observando as mídias sociais para obter a resposta para perguntas comuns de segurança "Qual é o seu animal de estimação favorito?" ou "Em que rua você cresceu?"
Um segundo fator é "algo que você tem", que pode ser uma chave de segurança ou um cartão SIM. Geralmente, esse segundo fator é aplicado como uma redefinição de backup, caso você esqueça sua senha.
O terceiro fator é "algo que você é". Pode ser sua impressão digital ou reconhecimento facial e de voz e raramente é usado fora de instalações militares.
Somente quando dois desses fatores, ou múltiplos fatores , são necessários ao mesmo tempo para autenticação, falamos de autenticação de dois ou múltiplos fatores.
Métodos comuns de autenticação de dois fatores
1. mensagem de texto
O que você possui: Um cartão SIM
A forma mais comum de autenticação de dois fatores é o telefone celular . Quase todo mundo tem um telefone celular e o mantém sempre, o que faz com que seja uma escolha popular e conveniente para provedores e usuários.
O que acontece quando você o perde: se você estiver em um plano mensal, poderá bloquear seu antigo SIM e obter um novo do seu provedor. Existe o risco de perder o acesso à sua conta ao viajar se as mensagens de texto não puderem passar.
Riscos de segurança: alguns provedores tornam terrivelmente trivial que outra pessoa obtenha um novo cartão SIM em seu nome ou, pior ainda, clone seu cartão SIM. Muitos provedores também possibilitam que um invasor desvie mensagens de texto para outro número, basicamente ignorando sua proteção.
Os estados de nação podem ler ou desviar as mensagens de texto enviadas a você, possibilitando que elas ignorem sua segurança. Além disso, há o risco de ataques do tipo man-in-the-middle , se você inserir a mensagem de texto no serviço errado.
Riscos de privacidade: os contratos necessariamente vinculam seu nome a todos os serviços para os quais você usou o telefone para se inscrever. No entanto, os contratos telefônicos pré-pagos não substituirão um cartão SIM perdido. De qualquer forma, sua empresa de telefonia móvel pode rastrear onde você está e de quem você recebe os códigos.
2. Aplicativos autenticadores
O que você tem: seu telefone com um aplicativo instalado.
Quando você usa um aplicativo autenticador, o serviço com o qual você configurou o 2FA comunicará um código secreto com você, geralmente na forma de um código QR. Digitalize esse código com o aplicativo autenticador e, a partir daí, seu aplicativo gerará códigos aleatórios que mudam a cada poucos segundos. Você precisará desse código sempre que fizer login em um serviço.
O que acontece quando você o perde: alguns serviços facilitam o backup desse código; caso você apague acidentalmente o aplicativo autenticador, perca ou quebre o telefone, basta configurá-lo novamente. Outros serviços o incentivam a salvar códigos de backup exclusivos que você pode usar no caso de perder o acesso ao seu aplicativo autenticador.
Obviamente, isso levanta a questão de onde salvar os códigos de backup. Muitas vezes, um pedaço de papel é a melhor opção, mas onde é um local seguro para armazená-lo?
Nota: Enquanto o telefone estiver ligado, o aplicativo irá gerar códigos para você. Seu telefone não precisa ter internet enquanto gera os códigos.
Riscos de segurança: se alguém conseguir capturar a tela do código QR ou por outro meio de interceptar a chave secreta, poderá gerar os mesmos códigos no aplicativo autenticador. Como as mensagens de texto, há o risco de ataques do tipo intermediário se você digitar sua senha no site errado.
Riscos de privacidade: se seu aplicativo autenticador exigir que você se inscreva com seu endereço de e-mail, isso pode ajudar um invasor a vincular contas. Em geral, um aplicativo autenticador apresenta poucos riscos de privacidade.
3. Chaves de hardware
O que você possui: Uma chave de hardware compatível com o padrão FIDO U2F.
Essa chave, que geralmente se parece com um pequeno pendrive, contém um pequeno chip que armazena com segurança uma chave privada.
Depois de conectar e registrar o dispositivo em um serviço, a chave pública assinará as mensagens de maneira que o serviço possa verificá-las. Diferentemente das mensagens de texto ou dos aplicativos autenticadores, não há risco de ataques intermediários porque a chave de hardware física é necessária para autenticar o serviço.
Ao contrário de mensagens de texto ou aplicativos autenticadores, as chaves de hardware não são gratuitas. Mas como o padrão dominante da FIDO U2F é um padrão aberto, há muita concorrência entre vários produtores. Os produtos podem variar entre US $ 5 e US $ 120 com uma carteira Bitcoin de hardware incluída.
O que acontece quando você o perde: se você puder pagar, uma segunda chave de hardware é uma boa idéia. Caso contrário, semelhante aos aplicativos autenticadores, você poderá fazer o download de códigos de backup que permitirão o acesso novamente à sua conta.
Riscos de segurança: as chaves de hardware se destacam tanto na segurança que, se implementadas corretamente, podem eliminar completamente os ataques de phishing . Por enquanto, a maioria dos serviços que oferecem registro de chave de hardware também exige um aplicativo autenticador ou número de telefone registrado. São esses elos fracos que provavelmente também se tornarão suas ameaças à segurança.
Riscos de privacidade: compre o dispositivo em dinheiro ou Bitcoin por certo. Em geral, uma chave de hardware não oferece risco à privacidade, pois criará um novo par de chaves para cada conta.
As chaves de hardware são melhores para 2FA, mas nem todos os aceitarão
As chaves de hardware vencem da perspectiva da segurança, são privadas e não são afetadas por um telefone que está hackeado ou fora de alcance. No entanto, apenas alguns serviços (Google, Dropbox, Facebook, Github e alguns outros) suportam o padrão até o momento.
A menos que você confie no seu provedor de telefone (e poucos fornecedores sejam confiáveis), um aplicativo autenticador é a melhor opção.
