Autenticação de dois fatores: um fator além da senha para proteger as suas contas na internet
Senha + dispositivo = mais segurança
Em texto anterior, apresentei uma técnica para gerar senhas fortes, porém, fáceis de lembrar. Dessa vez, vamos tratar da autenticação de dois fatores.
No processo de autenticação de dois fatores, dois passos são requeridos para acessar a sua conta no serviço desejado (Facebook, Twitter, e-mail etc.). O primeiro é a senha, o segundo passo ou fator depende de um terceiro dispositivo que seja de uso pessoal. É possível utilizar seu smartphone ou mesmo um hardware especializado, como é o caso dos tokens da Yubico e, com eles, gerar ou receber códigos aleatórios que só poderão ser utilizados no momento em que são gerados.
Comentarei brevemente sobre o uso de smartphone e tokens a seguir.
Utilizando seu smartphone
As formas mais comuns envolvem utilizar seu número do smartphone para receber o código via SMS ou a partir de um aplicativo, como o Google Authenticator. Desaconselho o uso de SMS, há várias formas de fraudar esse método, inclusive por engenharia social (como no caso do golpe conhecido como SIM Swap). Vamos ver aqui como utilizar o Google Authenticator (Android).
Todo serviço compatível com a autenticação em dois fatores provavelmente vai oferecer a opção de cadastrar o serviço em seu Google Authenticator, previamente instalado no seu smartphone. A instalação consiste em utilizar o aplicativo para ler um QR-Code oferecido pelo serviço que você quer tornar mais seguro. Uma vez lido o QR-Code e confirmado um código gerado no Google Authenticator pela primeira vez, sua conta estará vinculada ao aplicativo em seu celular.
O Google Authenticator gera um novo código a cada minuto, mais ou menos, o que significa que para ter este código, o invasor precisará ter seu smartphone. Não adianta mais apenas descobrir sua senha, será necessário ter o seu dispositivo móvel.
Tokens (chave Yubico)
Outra forma de fazer a autenticação de dois fatores é usando um hardware especial, um token. As chaves da empresa Yubico são bastante conhecidas e utilizadas.
O mecanismo consiste em colocar a sua chave na entrada USB do dispositivo, que pode ser seu computador desktop ou laptop ou mesmo nos móveis, o smartphone ou tablet. O cadastro do token no serviço é feito de forma semelhante, utilizando um aplicativo da Yubico parecido com o aplicativo da Google comentado anteriormente neste texto.
Para acessar sua conta, uma vez conectado e ativado, a chave gerará o código necessário para o segundo passo da autenticação.
A autenticação de dois fatores não é infalível, mas, somada a uma senha forte, torna-se realmente uma barreira muito poderosa contra acessos não autorizados às suas contas nos diversos serviços da internet, como emails, redes sociais, repositórios de códigos e outros.
—
Meu objetivo é escrever 30 textos em 30 dias. Este é o 8/30. Os textos anteriores podem ser encontrados em https://medium.com/(ricsodre?)