Como a 2FA funciona?
A autenticação de dois fatores funciona exigindo duas formas de identificação para confirmar sua identidade e permitir o acesso à sua conta. A 2FA utiliza dois dos três fatores a seguir para confirmar a sua identidade: algo que você sabe (como uma senha), algo que você tem (como uma chave) ou algo que você é (como uma impressão digital). Ao acrescentar uma etapa de verificação adicional, a 2FA reforça significativamente a segurança de suas contas.
Ao fazer login em alguma das suas contas online, o nível básico de autenticação requer apenas a senha. Esta é uma etapa para confirmar sua identidade. A 2FA requer uma segunda etapa antes de você poder ter acesso à sua conta. A segunda etapa diz respeito a algo que você conhece, algo que você possui ou algo que você é. Além de digitar sua senha, por exemplo, a 2FA também pode exigir que você digite um código PIN enviado via SMS para confirmar sua identidade.
Como a 2FA funciona em detalhes
A 2FA funciona com a verificação de uma segunda informação além da senha. Como a 2FA requer dois dados não relacionados, há poucas chances de que alguém consiga acessar ambos. O tipo de informação de autenticação depende do serviço online que você está usando, seja ele Facebook, iCloud, Yahoo ou Google.
Por exemplo, o Gmail lhe dá algumas opções ao configurar a 2FA:
-
Uma chave de segurança física: Esta opção funciona como uma fechadura e uma chave, que você normalmente precisa adquirir.
-
App Google Authenticator: Primeiro, você deve instalar o aplicativo em seu telefone. Depois, toda vez que você acessar seu e-mail, receberá um prompt em seu telefone, no qual você deverá tocar para confirmar a sua identidade.
-
Código de verificação: Essa opção lhe envia um código numérico único, geralmente por SMS, que você deverá digitar para confirmar a sua identidade.
Veja como a 2FA funciona quando você quer acessar sua conta: Você informa seu nome de usuário e sua senha e clica em enviar. Em seguida, o serviço online no qual você está entrando envia um pedido automatizado de sua segunda informação, que pode ser um SMS com um código de verificação, um prompt de autenticação do Google ou algum outro método da 2FA que você tenha configurado. Após verificar a segunda informação (o segundo fator de autenticação), você terá acesso à sua conta online.
A autenticação de dois fatores requer duas formas de identificação para confirmar a sua conta.
Sem essa segunda informação, um criminoso cibernético tentando invadir sua conta – mesmo um que tenha a sua senha — será barrado.
A melhor descrição da autenticação de dois fatores é que ela é uma medida de segurança que requer dois tipos diferentes de autenticação para acessar uma conta. Portanto, se você receber uma mensagem com um código de acesso para verificação e não tiver tentado entrar no sistema recentemente, você estará seguro se não realizar nenhuma ação. Mas, você deve mudar sua senha imediatamente para algo exclusivo, e usar um gerenciador de senhas seguro para manter o controle de todas as suas senhas.
Para uma definição mais detalhada da 2FA e saber como ela pode ser usada para proteger sua identidade digital, confira a explicação de Michael McKinnon sobre a autenticação de dois fatores, a proteção de senha e por que ela é importante para a segurança online.
Os três fatores de autenticação básicos
A camada adicional da 2FA é geralmente um desses três fatores básicos: algo que você conhece, algo que você possui ou algo que você é. Veja o tipo de informação que se encaixa nessas três categorias de autenticação:
-
Algo que você conhece: Pode ser um código PIN, respostas para perguntas de segurança e, claro, sua senha.
-
Algo que você possui: Geralmente, um objeto físico, como um cartão de crédito, um token de segurança (um pequeno hardware) ou um cartão de identificação. Também pode se referir ao seu telefone, o qual você pode confirmar a posse via código por SMS ou um aplicativo especial como o Google Authenticator.
-
Algo que você é: Diz respeito a dados biométricos, geralmente impressão digital ou reconhecimento facial, como o Touch ID ou Face ID da Apple.
A 2FA acontece toda vez que você usa um caixa eletrônico. Sacar dinheiro de um caixa eletrônico exige algo que você tem (seu cartão do banco) junto com algo que você conhece (sua senha). Mas quando você faz login em uma conta online com seu nome de usuário e senha, mesmo que esteja apresentando duas informações, elas não atendem aos critérios para 2FA, porque ambas são algo que você conhece. Felizmente, a maioria das contas de e-mail permite a adição de uma camada adicional, como prova de que seu telefone está com você.
Sua impressão digital é uma de suas características mais distintas. A impressão digital de cada pessoa é única e nunca muda. Mas, e se disséssemos que essas são grandes razões para nunca usar desbloqueios com impressão digital? É contraintuitivo, mas o uso destes desbloqueios pode realmente comprometer sua segurança.
Mas a 2FA não costuma envolver impressões digitais, como veremos a seguir.
Tipos de autenticação de dois fatores (2FA)
As contas com 2FA ativada estão em menor risco do que aquelas sem, e é muito fácil configurar e usar a 2FA. Aqui estão alguns tipos de autenticação de dois fatores que você pode encontrar na internet:
Tokens de hardware para autenticação de dois fatores (2FA)
Um token de hardware é um pequeno dispositivo sincronizado com seu site ou rede. Ela percorre ciclos através de cadeias de números geradas aleatoriamente. Quando você quiser fazer o login, o site ou a rede pedirá o número que está no token naquele momento, e somente esse número permitirá o login.
Isso não é ideal porque estes pequenos tokens podem ser hackeados, e a maioria das pessoas não está sempre com eles à mão como ficam com seu iPhone ou telefone Android, tornando-os mais fáceis de perder.
2FA baseada em SMS (mensagem de texto) e voz
A 2FA via smartphone é um dos tipos mais comuns de 2FA, porque quase todo mundo está com seu telefone ligado o tempo todo. O site envia um código para o telefone via SMS ou chamada de voz, e você faz o login informando o código. Se você proteger sua conta com uma senha forte e bloquear seu telefone com uma senha completamente diferente, as chances de um criminoso cibernético invadir ambas são muito baixas.
Mas, a 2FA via SMS está se tornando rapidamente cada vez menos segura. Uma técnica conhecida como troca de SIM está deixando que criminosos cibernéticos assumam seu número de telefone. Ainda é bastante incomum, mas as empresas estão respondendo mudando a sua ênfase para outro lugar. É também por isso que os aplicativos de mensagens seguras estão crescendo.
Tokens de software para 2FA
A vantagem da 2FA baseada em SMS costumava ser que um criminoso cibernético não era capaz de conseguir seu telefone e sua senha. Como agora as mensagens de texto podem ser interceptadas, essa vantagem não existe mais.
É aí que entram os tokens de software para a 2FA. Eles estão conectados ao dispositivo e não ao número de telefone, portanto, a instalação do software em seu telefone ou laptop garantirá que somente a pessoa com acesso a esse dispositivo possa fazer o login.
Notificação para 2FA
As notificações ainda são mais seguras do que as mensagens de SMS ou tokens de software. Uma notificação é enviada diretamente para seu telefone, evitando a possibilidade de interceptação do SMS ou de alguém acessar seu dispositivo remotamente. Elas são ótimas para evitar ataques man-in-the-middle (homem do meio), que é apenas uma das formas de invasão das contas de e-mail.
Outras formas de autenticação de dois fatores
A 2FA com biometria está em ascensão, o que significa que você pode começar a usar sua impressão digital, reconhecimento facial ou leitura ocular para entrar em seus dispositivos. Mas isso não é perfeito. É por isso que os desenvolvedores estão trabalhando bastante em tecnologias que reconhecem perfis de voz, velocidade de digitação e até mesmo o ruído do ambiente ao seu redor.
Exemplos de autenticação de dois fatores
A Apple utiliza a autenticação de dois fatores extensivamente com os dispositivos de seus clientes. Eles aproveitam a robusta segurança do iCloud e suas conexões com todos os seus dispositivos. Quando eles veem que você está tentando entrar e não sabem se é você, enviam um código de 2FA para um de seus outros dispositivos Apple, como seu iPad.
Muitas empresas também têm soluções de 2FA especialmente projetadas para manter as atividades de seus funcionários ocultas tanto quanto possível. Um token de hardware é uma opção de verificação segura para aqueles que desempenham um papel crítico em uma empresa.
Por que eu devo usar autenticação de dois fatores?
Você deve usar a 2FA porque ela oferece proteção adicional, afinal, até mesmo as senhas mais fortes falham. Mesmo que você crie uma senha forte, ainda há uma chance de que ela vaze. Mas mesmo se alguém souber a sua senha, não poderá acessar sua conta se você tiver a 2FA configurada.
Uma senha costumava ser o suficiente, mas os criminosos cibernéticos têm todos os tipos de formas inovadoras para comprometê-las. Aqui estão formas pelas quais os criminosos cibernéticos podem descobrir sua senha:
-
Violações de dados: Quando uma grande organização é violada, milhões de nomes de usuário e senhas de pessoas (e outros dados confidenciais) podem acabar à venda na dark web. Os criminosos cibernéticos podem comprar listas desses nomes de usuário e senhas e tentar reciclar credenciais, ou seja, usar essas credenciais em toda a web para ver quais contas podem acessar. Essa é uma razão para nunca reutilizar senhas em várias contas.
-
Spyware: Este tipo de software malicioso pode espionar você e registrar toda a sua atividade. O software de keylogging pode registrar discretamente tudo o que você digita, inclusive seus nomes de usuário e senhas, e enviar essas informações para os criminosos cibernéticos que instalaram o malware em seu dispositivo.
-
Phishing: O phishing é um tipo de golpe de engenharia social em que os criminosos cibernéticos se passam por uma empresa ou contato confiável para te induzir a revelar informações pessoais. Neste caso, pode ser um e-mail falso pedindo a confirmação do nome de usuário e da senha de um serviço online que você usa. Informar esses dados fará com que eles sejam enviados diretamente para o golpista.
-
Redes sociais: Embora não seja exatamente sofisticado, sem a 2FA você corre o risco de seu Instagram ser invadido. Você desejou um feliz aniversário para sua mãe este ano? Adotou um cachorrinho novo? Comprou uma casa? Um criminoso cibernético pode ver postagens públicas e obter informações para usar contra você, quer essas informações estejam ou não relacionadas às suas senhas. Não deixe de verificar se há vazamentos em seu Facebook e fique atento a sinais de que seu telefone foi invadido.
É por isso que a 2FA é tão importante. Se sua senha cair nas mãos de um criminoso cibernético, e você usar a 2FA, sua conta ainda estará segura. A etapa extra de verificação torna a 2FA uma poderosa medida de segurança.
Como configurar a autenticação de dois fatores
Para configurar a autenticação de dois fatores, primeiro você precisa saber se o serviço online em que você quer usá-la (como app de e-mail, bancário ou de redes sociais) oferece essa opção. Confira este link para ver instruções detalhadas sobre como configurar a 2FA em sua conta do Gmail.
A título de exemplo, vamos passar pela etapa de criação da 2FA em sua conta do Facebook.
-
Acesse o Facebook e entre em sua conta. Clique na foto do seu perfil no canto superior direito e selecione Configurações e privacidade > Configurações.
-
Selecione Segurança e login no painel esquerdo e procure por Usar autenticação de dois fatores. Clique em Editar.
-
O Facebook lhe dará opções para a 2FA, incluindo um aplicativo de autenticação, SMS, ou chave de segurança. Escolha uma delas.
-
Caso você queira usar o Google Authenticator mas ainda não tenha feito o download, acesse Google Play ou App Store da Apple e baixe o aplicativo.
-
Abra o Google Authenticator no telefone e leia o código QR na tela.
-
No telefone, você verá e confirmará que está adicionando 2FA à sua conta do Facebook. Clique em Continuar na tela do computador.
-
O Facebook pedirá para inserir um código do Google Authenticator. Esse código muda a cada poucos segundos para que apenas você tenha acesso a ele. Insira o número de 6 dígitos e clique em Continuar.
-
O Facebook confirmará a ativação da 2FA.
Dica de segurança: Você deve ativar a 2FA em todas as contas possíveis, especialmente de banco online e outras contas confidenciais.
Como desativar autenticação de dois fatores
Na maioria das contas, você pode desativar a autenticação de dois fatores da mesma forma que você a ativou, geralmente através das configurações de segurança e privacidade da conta. No Facebook, você pode desativar a autenticação de dois fatores em Segurança e configurações de login > Usar autenticação de dois fatores > Desativar. Você precisará digitar sua senha e haverá uma solicitação de confirmação.
Talvez seja necessário fazer isso se você tiver um novo número de telefone, por exemplo, ou se for muito inconveniente para administrar no momento. Apenas certifique-se de reativá-la quando puder.
A autenticação de dois fatores é segura?
Embora a 2FA possa acrescentar significativamente mais segurança às suas contas online, existem algumas falhas. Por exemplo, muitos serviços não exigem a 2FA para redefinir uma senha. Mas para usuários médios, a 2FA é muito mais segura do que usar apenas uma senha.
Outro exemplo de uma falha da 2FA pode ser visto na história da RSA Security. Todo o modelo de negócios da RSA Security se baseou no fornecimento da segurança de 2FA para clientes como o Pentágono — então, eles foram invadidos. Todos os tokens vazaram, transformando as entidades de segurança nacional de mais alto nível em alvos fáceis.
Este é um exemplo extremo. Para pessoas normais como você e eu, a 2FA é segura. A maioria dos criminosos cibernéticos não tem como alvo pessoas específicas, optando em vez disso por visar vítimas de alto perfil ou vítimas fáceis com segurança fraca. E se for difícil invadir uma pessoa, eles geralmente passarão para alguém mais fácil. Por esse motivo, a 2FA é mais do que suficiente — junto com uma senha forte e um bom software de segurança.
Quando os criminosos cibernéticos colocam as mãos em suas informações pessoais, como senhas, números de previdência social ou dados bancários, eles geralmente as colocam à venda na dark web. Se você tem usado a Internet sem a 2FA, é bom fazer uma varredura na dark web para ver se alguma das suas informações atuais ou anteriores vazou.
Mas monitorar a dark web continuamente procurando por suas informações vazadas é uma ação tola. Felizmente, um serviço de monitoramento de privacidade como o AVG BreachGuard pode notificá-lo automaticamente se suas informações particulares forem vazadas. Aproveite o monitoramento da web 24/7, as notificações de vazamento de dados e as dicas e conselhos para reforçar a privacidade e a proteção com o AVG BreachGuard.
Definição de autenticação multifator
A autenticação de dois fatores é um tipo de autenticação multifator (MFA). A MFA refere-se ao uso de dois (ou mais) fatores de autenticação. Portanto, sempre que você usar 2FA, também estará usando MFA. A MFA que requer mais de dois fatores de autenticação é normalmente usada em edifícios de alta segurança, tais como instalações governamentais ou outras instituições detentoras de informações altamente confidenciais.
Esses edifícios podem exigir um código PIN (algo que você conhece), um crachá de identificação (algo que você possui) e uma digitalização de impressão digital (algo que você é) para permitir o acesso.
Algumas empresas de tecnologia, bancos ou outras empresas com segurança rigorosa também podem exigir autenticação de três fatores para acessar contas online. Mas a maioria dos usuários achará que a 2FA é suficiente para proteger suas contas pessoais.
Seus logins já vazaram?
Adicionar a 2FA a todas as suas contas online ajudará a melhorar drasticamente sua segurança online. Mas... e todos esses anos que você usou a internet e acessou contas pessoais sem a 2FA? Se suas senhas já foram expostas, você pode não saber sobre isso. O AVG BreachGuard pode ajudar monitorando a web em busca de vazamentos de dados 24 horas por dia, 7 dias por semana. Se suas informações pessoais forem expostas, o AVG informará imediatamente e ajudará a tomar as medidas adequadas.
Além disso, você passará por uma auditoria de segurança que avaliará os protocolos de segurança atuais e oferecerá sugestões para melhorar suas senhas e ajustar suas configurações para maior segurança. Na luta contra hackers, o AVG BreachGuard é uma arma crucial a ser adicionada ao seu arsenal. Comece a proteger suas informações pessoais agora mesmo.