Os prós e contras da autenticação de dois fatores por códigos únicos

Os especialistas em segurança da informação há muito concordam que a forma mais confiável de autenticação de dois com código único é por meio de um aplicativo autenticador. A maioria dos serviços oferece esse método como um segundo nível de proteção da conta, enquanto, em alguns casos, a autenticação de dois fatores usando um código de um aplicativo é a única opção disponível.

Mas as razões pelas quais os códigos únicos são considerados tão seguros raramente são discutidas, então surgem questões legítimas sobre se esta é realmente uma boa opção, quão confiável ela é, quais perigos valem a pena considerar e o que você precisa ter em mente ao usar este método de autenticação de dois fatores. O principal objetivo deste post é responder a essas perguntas.

Como funcionam os aplicativos autenticadores

Geralmente, esses aplicativos funcionam da seguinte maneira: o serviço no qual você está autenticando e o próprio autenticador compartilham um número — uma chave secreta (contida em um código QR que você usa para habilitar a autenticação desse serviço no aplicativo). O autenticador e o serviço usam simultaneamente o mesmo algoritmo para gerar um código baseado nessa chave e no horário atual.

Quando você insere o código que seu app autenticador gerou, o serviço o compara com o que ele mesmo gerou. Se os códigos coincidirem, a liberação será feita e o acesso à conta será autorizado (se não, não vai conseguir). Além disso, quando você conecta o aplicativo autenticador por meio de um código QR, muitas informações são transferidas além da chave secreta. Isso inclui o período de expiração do código único (geralmente 30 segundos).

A informação mais importante – a chave secreta – é transmitida apenas uma vez, quando o serviço faz par com o autenticador, e então ambas as partes se conectam por ela. Ou seja, como existe a cada vez um novo login na conta, nenhuma informação é transmitida do serviço para o seu autenticador, então não há nada para ser interceptado. Na verdade, os aplicativos autenticadores nem precisam de acesso à internet para realizar sua função principal. Tudo o que, teoricamente, um hacker pode obter é o código único real que o sistema gera para você inserir. E esse código é válido por apenas meio minuto ou pouco mais.

Já discutimos com mais detalhes como os aplicativos autenticadores funcionam em uma publicação separada. Recomendamos a leitura para quem quiser saber sobre os padrões de autenticação, as informações contidas nos códigos QR para conectar esses aplicativos e sobre os serviços incompatíveis com os autenticadores mais comuns.

Qual é a segurança da 2FA com um código único?

Vamos resumir as principais vantagens da autenticação de código único de um aplicativo:

• Boa proteção contra vazamentos: apenas uma senha não é suficiente para obter acesso a uma conta — você também precisa de um código único.
• Proteção decente contra uma interceptação deste código único. Como o código é válido por apenas 30 segundos, os hackers não têm muito tempo para usá-lo.
• É impossível recuperar uma chave secreta de um código único, portanto, mesmo que o código seja interceptado, os invasores não conseguirão clonar o autenticador.
• Nenhuma conexão com a internet é necessária no dispositivo que gera códigos únicos. Ele pode ser mantido completamente isolado.

Como você pode ver, o sistema é bem pensado. Seus desenvolvedores fizeram tudo ao alcance para torná-lo o mais seguro possível. Mas nenhuma solução é completamente segura. Portanto, mesmo ao usar a autenticação por código de um aplicativo, há alguns riscos a serem considerados e precauções a serem tomadas. É sobre isso que falaremos a seguir.

Vazamentos, ataque contra e-mail e soluções alternativas

Mencionamos acima que a autenticação com códigos únicos de um aplicativo é uma ótima proteção contra vazamentos de senha. E em um mundo perfeito, seria. Infelizmente, não paramos por aí, pois há uma nuance crucial que decorre do fato de que os serviços geralmente não querem perder seus usuários por causa de um detalhe tão pequeno e irritante, como perder o autenticador (que pode acontecer com qualquer um); portanto, eles geralmente fornecem uma maneira alternativa de fazer login nas contas: enviando um código único ou link de confirmação para um endereço de e-mail associado.

Isso significa que, se ocorrer um vazamento e os invasores souberem a senha e o endereço de e-mail ao qual está vinculado, eles podem tentar usar esse método alternativo para fazer login na conta. E se o seu e-mail estiver mal protegido (especialmente se você usar a mesma senha para ele e não habilitar a autenticação de dois fatores), é muito provável que os hackers consigam driblar a inserção de um código único de um aplicativo.

O que vale a pena fazer sobre isso:

• Fique atento a vazamentos de dados e altere imediatamente as senhas dos serviços afetados.
• Não use a mesma senha para diferentes serviços. Isso é especialmente importante para e-mail ao qual outras contas estão vinculadas.
• Alguns serviços permitem que você desative métodos alternativos de login. Para contas especialmente valiosas, pode valer a pena fazer isso (mas não se esqueça de fazer backup do autenticador – há mais sobre isso abaixo).

Acesso físico e pessoas que espiam nas suas costas

Alguém pode olhar por cima do seu ombro quando você estiver usando um aplicativo autenticador e ver o código único. E não apenas um código, pois os autenticadores geralmente exibem vários códigos seguidos. Assim, o invasor poderia fazer login em qualquer uma dessas contas se visse o código. É claro que os hackers não teriam muito tempo para aproveitar o que avistavam. Mas é melhor não arriscar – 30 segundos podem ser tempo suficiente para um cibercriminoso de dedos ágeis…

A situação é mais perigosa se alguém conseguir colocar as mãos em um smartphone desbloqueado com um autenticador. Nesse caso, esse alguém poderia muito bem aproveitar a oportunidade para entrar em suas contas sem muita pressa ou dificuldade.

Como minimizar tais riscos:

• Use um aplicativo autenticador que não exiba os códigos na tela por padrão (existem muitos deles).
• Defina uma senha forte para desbloquear o smartphone no qual o aplicativo autenticador está instalado e ative o bloqueio automático da tela após um curto período de inatividade.
• Use um aplicativo onde você também pode definir uma senha de login (esses aplicativos também existem).

Sites de phishing

A maioria dos sites de phishing projetados para ataques em massa são bastante primitivos. Seus criadores geralmente se contentam em roubar logins e senhas, e na sequência vender esse material por atacado por uns trocados, em algum lugar da dark web. Obviamente, a autenticação de dois fatores é a proteção perfeita contra esses hackers: mesmo que alguém obtenha suas credenciais de login, elas são completamente inúteis sem um código único de um aplicativo.

No entanto, em sites de phishing elaborados de forma mais cuidadosa e plausível, especialmente aqueles projetados para ataques direcionados, os phishers também podem imitar o mecanismo de verificação de autenticação de dois fatores. Nesse caso, eles interceptarão não apenas o login e a senha, mas também o código único. Depois disso, os invasores farão login rapidamente na conta real da vítima, enquanto o site de phishing pode emitir uma mensagem de erro e sugerir uma nova tentativa.

Infelizmente, apesar de sua aparente simplicidade, o phishing continua sendo um truque extremamente eficaz para criminosos, e pode ser difícil se proteger contra as versões sofisticadas dos golpes. O conselho geral aqui é o seguinte:

• Não clique em links de e-mails — especialmente aqueles recebidos de endereços desconhecidos ou suspeitos.
• Verifique cuidadosamente o endereço das páginas onde você está inserindo as informações da sua conta.
• Use uma solução confiável com proteção automática contra phishing.

Malwares ladrões

Para dizer o mínimo, as pessoas realmente não gostam de passar pelo processo de autenticação completo. Portanto, os serviços tentam não incomodar seus usuários desnecessariamente. Na verdade, na maioria dos casos, você só precisa ser totalmente autenticado com uma senha e um código de confirmação ao fazer login na sua conta em cada dispositivo pela primeira vez. Ou talvez mais tarde – se você acidentalmente limpou os cookies do seu navegador.

Depois de fazer login com sucesso, o serviço salva um pequeno cookie em seu computador, que contém um número longo e muito secreto. Este arquivo é o que seu navegador apresentará ao serviço para autenticação a partir de agora. Portanto, se alguém conseguir roubar esse arquivo, ele poderá ser usado para entrar na sua conta. Nenhuma senha ou código único será necessário para isso.

Esses arquivos (juntamente com várias outras informações, como senhas salvas no navegador, chaves de carteira de criptomoedas e outros itens semelhantes) podem ser roubados por Trojans. Se você tiver a infelicidade de ter um arquivo malicioso desses em seu computador, há uma boa chance de que suas contas sejam invadidas, mesmo com todas as outras precauções.

Para evitar que isso aconteça:

• Não instale programas de fontes duvidosas.
• Se certifique de usar uma proteção confiável em todos os seus dispositivos.

A ausência de backups dos autenticadores

O acesso às suas contas também pode ser perdido devido à proteção ser muito forte. Por exemplo: na hipótese de você proibir o acesso às suas contas sem um código de autenticação e, na sequência, você perder acesso ao autenticador. Nesse caso, você pode perder permanentemente suas contas e informações nelas contidas. Ou pelo menos você tem a garantia de alguns dias nada divertidos de correspondência chorosa com o suporte para restauração de acesso.

Na verdade, existem algumas circunstâncias em que você pode perder seu autenticador:

• Um smartphone pode quebrar de forma que você não consiga obter nenhuma informação dele.
• Você pode perdê-lo.
• E claro, pode ser roubado.

Todos esses são eventos imprevisíveis, por isso é melhor se preparar com antecedência para evitar consequências desagradáveis:

• Certifique-se de fazer backup dos dados do autenticador. Muitos aplicativos permitem backup na nuvem; alguns também podem salvá-lo como um arquivo local.
• Pode ser aconselhável instalar o autenticador em dois dispositivos diferentes ou até mesmo usar vários aplicativos diferentes. Isso protege você de ser bloqueado de seu backup se a infraestrutura de nuvem de um único autenticador estiver indisponível no momento mais inoportuno.

Como se manter seguro

Vamos resumir. A própria autenticação de dois fatores reduz seriamente o risco de suas contas serem invadidas, mas não garante segurança total. Portanto, vale a pena tomar precauções extras:

• Certifique-se de definir uma senha para fazer login no dispositivo onde o autenticador está instalado.
• Use um aplicativo autenticador que saiba como ocultar códigos únicos de olhares indesejados e permita que você defina uma senha para fazer login no próprio aplicativo.
• Não se esqueça de fazer backup do autenticador.
• Não use senhas fáceis e não utilize a mesma senha para contas diferentes Um gerenciador de senhas vai ajudar você a gerar e lembrar sequências únicas e seguras de caracteres.
• Fique atento a vazamentos e altere prontamente as senhas dos serviços afetados, principalmente se for o e-mail ao qual outras contas estão vinculadas. A propósito, o Kaspersky Password Manager rastreia vazamentos de senha e avisa sobre eles.
• Para se proteger contra phishing e malwares ladrões, instale uma solução de segurança confiável em todos os seus dispositivos.
• Fique atento a tentativas de login em suas contas e responda rapidamente a atividades suspeitas. A propósito, temos um tutorial que informa o que fazer se sua conta for invadida.