Note que at\u00e9 mesmo os m\u00e9todos mais tecnol\u00f3gicos ou trabalhosos para roubar mensagens SMS com senhas (explora\u00e7\u00e3o do SS7) dos mencionados acima j\u00e1 foram colocados em pr\u00e1tica. O restante faz parte da rotina di\u00e1ria dos cibercriminosos. Dito isto, n\u00e3o estamos lidando com uma amea\u00e7a hipot\u00e9tica, mas real.<\/p>\n
De modo geral, mensagens SMS com senhas n\u00e3o s\u00e3o muito confi\u00e1veis, e \u00e0s vezes s\u00e3o extremamente inseguras. Assim, faz sentido olhar para o horizonte em busca de alternativas quando se trata de 2FA, que \u00e9 nosso t\u00f3pico de hoje.
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10002526\/2fa-practical-guide-featured-1024x672.jpg\")
<\/p>\n
C\u00f3digos \u00fanicos em um arquivo ou papel<\/h3>\n
O jeito mais simples de substituir as senhas \u00fanicas das mensagens SMS \u00e9 usar, sim, senhas \u00fanicas, mas elaboradas previamente. N\u00e3o \u00e9 a pior op\u00e7\u00e3o, principalmente para servi\u00e7os que voc\u00ea n\u00e3o costuma acessar com frequ\u00eancia. Mesmo para o bom e velho Facebook, esse m\u00e9todo pode funcionar bem, especialmente como um plano B.<\/p>\n
\u00c9 bastante simples: mediante solicita\u00e7\u00e3o, o servi\u00e7o gera e mostra mais ou menos uma dezena de c\u00f3digos \u00fanicos que podem ser posteriormente usados para autenticar um login. Esses c\u00f3digos podem ser impressos ou anotados e guardados em seguran\u00e7a. Ou, ainda mais simples, armazenados em notas criptografadas em um gerenciador de senhas<\/a>.<\/p>\n N\u00e3o faz tanta diferen\u00e7a se os c\u00f3digos ser\u00e3o mantidos em formato f\u00edsico ou digital \u2014 o que importa \u00e9 que (1) n\u00e3o sejam perdidos e (2) n\u00e3o possam ser roubados.<\/p>\n Al\u00e9m de todos os \u201c\u00fanicos\u201d nessa frase, um conjunto \u00fanico de c\u00f3digos \u00fanicos tem tamb\u00e9m um \u00fanico inconveniente: mais cedo ou mais tarde vai chegar ao fim, e voc\u00ea pode ficar sem c\u00f3digos nos momentos mais inoportunos. Felizmente, h\u00e1 uma solu\u00e7\u00e3o: ger\u00e1-los de forma r\u00e1pida com um pequeno e (geralmente) muito simples aplicativo de autentica\u00e7\u00e3o.<\/p>\n \u00c9 muito f\u00e1cil utilizar aplicativos 2FA. Basta:<\/p>\n \u00a0<\/strong>Os c\u00f3digos s\u00e3o criados com base em uma chave de seguran\u00e7a (conhecida apenas por voc\u00ea e pelo servidor) e no hor\u00e1rio, arredondado para 30 segundos. Ambos os componentes s\u00e3o os mesmos para voc\u00ea e para o servi\u00e7o, para que os c\u00f3digos sejam gerados simultaneamente. Esse algoritmo chama-se OATH TOTP (Time-based One-Time Password<\/em>), e \u00e9 de longe o mais comumente utilizado.<\/p>\n A grande maioria dos aplicativos 2FA utiliza o mesmo algoritmo, ent\u00e3o qualquer um pode ser usado em servi\u00e7os que suportam autenticadores; fa\u00e7a sua escolha.<\/p>\n Claro, para toda regra, h\u00e1 exce\u00e7\u00f5es. Por motivos que apenas os servi\u00e7os conhecem, alguns deles preferem criar seus pr\u00f3prios apps 2FA que funcionam apenas nas suas plataformas. E mais, esses pr\u00f3prios servi\u00e7os n\u00e3o aceitam outros aplicativos al\u00e9m do desenvolvido pela empresa.<\/p>\n Isso \u00e9 especialmente comum entre os maiores editores de videogames: por exemplo, Blizzard Authenticator, Steam Mobile com o seu Steam Guard integrado, Wargaming Auth e outros s\u00e3o todos incompat\u00edveis com apps e servi\u00e7os de terceiros. No entanto, apenas os aplicativos personalizados podem ser usados nessas importantes plataformas de jogos.<\/p>\n Esse caminho peculiar tamb\u00e9m foi seguido pela Adobe com o seu Adobe Authenticator, que funciona apenas com contas AdobeID. Contudo, outros autenticadores podem ser utilizados para fazer a autentica\u00e7\u00e3o, de forma que n\u00e3o fica clara a necessidade da ferramenta.<\/p>\n De qualquer forma, a maioria das empresas de TI n\u00e3o restringem a escolha dos usu\u00e1rios para apps 2FA. E, mesmo se uma empresa repentinamente decidir criar seu pr\u00f3prio aplicativo, na maioria das vezes, ele pode ser usado para proteger n\u00e3o apenas suas pr\u00f3prias contas, como a de outros servi\u00e7os tamb\u00e9m.<\/p>\n Apenas escolha o aplicativo de autentica\u00e7\u00e3o que mais gosta em termos de recursos adicionais \u2013 vai funcionar na maioria dos servi\u00e7os que geralmente suportam apps 2FA.<\/p>\n A oferta de aplicativos 2FA \u00e9 surpreendentemente ampla. Pesquise por \u201cauthenticator\u201d na Google Play ou na App Store e ver\u00e1 dezenas de op\u00e7\u00f5es. N\u00e3o recomendamos instalar o primeiro app que enxergar: pode n\u00e3o ser o mais seguro. Lembre-se que voc\u00ea est\u00e1 prestes a entregar as chaves das suas contas (o aplicativo n\u00e3o vai saber suas senhas, \u00e9 claro, mas est\u00e1 usando 2FA porque as senhas podem vazar). Em geral, vale a pena optar por um app criado por um desenvolvedor reconhecido e confi\u00e1vel.<\/p>\n Apesar da fun\u00e7\u00e3o b\u00e1sica de todos esses aplicativos ser a mesma \u2013 criar c\u00f3digos \u00fanicos utilizando o mesmo algoritmo \u2013 alguns deles possuem funcionalidades extras ou recursos de interface que podem ser atrativos. Aqui est\u00e3o algumas op\u00e7\u00f5es.<\/p>\n 1. Google Authenticator<\/strong><\/p>\n Plataformas suportadas:<\/strong>\u00a0Android<\/a>, iOS<\/a> No entanto, essa simplicidade tem uma desvantagem: se n\u00e3o gostar de algo na interface ou quiser mais recursos, ter\u00e1 que instalar outro aplicativo de autentica\u00e7\u00e3o.<\/p>\n 2. Duo Mobile<\/strong><\/p>\n Plataformas suportadas:\u00a0<\/strong>Android<\/a>, iOS<\/a> + C\u00f3digos ocultos por padr\u00e3o.<\/p>\n 3. Microsoft Authenticator<\/strong><\/p>\n Plataformas suportadas:\u00a0<\/strong>Android<\/a>, iOS<\/a> Depois, o Microsoft Authenticator simplifica o acesso \u00e0s contas Microsoft. Ap\u00f3s inserir sua senha, tudo que precisa fazer \u00e9 clicar no bot\u00e3o no app para confirmar o login \u2013 e pronto, n\u00e3o \u00e9 preciso nem mesmo inserir um c\u00f3digo \u00fanico.<\/p>\n 4. FreeOTP<\/strong><\/p>\n Plataformas suportadas:<\/strong>\u00a0Android<\/a>, iOS<\/a> Terceiro, o aplicativo oculta os c\u00f3digos por padr\u00e3o, mostrando-os apenas quando se clica no token. Quarto, mas n\u00e3o menos importante, o FreeOTP permite configurar tokens de forma flex\u00edvel e manual, se quiser. Naturalmente, o m\u00e9todo de cria\u00e7\u00e3o de tokens mais usual, com leitura de QR Codes, tamb\u00e9m \u00e9 suportado.<\/p>\n \u00a0<\/strong>5. Authy Os tokens na nuvem s\u00e3o criptografados com uma chave baseada em uma senha definida pelo usu\u00e1rio, o que significa que os dados s\u00e3o armazenados com seguran\u00e7a e nem um pouco f\u00e1ceis de roubar. Voc\u00ea tamb\u00e9m pode definir um c\u00f3digo PIN para o aplicativo ou proteg\u00ea-lo com uma impress\u00e3o digital se seu smartphone possuir o leitor biom\u00e9trico.<\/p>\n A principal desvantagem \u00e9 que o Authy exige a configura\u00e7\u00e3o de uma conta vinculada a um n\u00famero de telefone \u2013 de outra forma, n\u00e3o vai funcionar.<\/p>\n Se um aplicativo que gera c\u00f3digos \u00fanicos parece uma maneira intang\u00edvel e muito fr\u00e1gil de proteger suas contas, e quiser algo mais s\u00f3lido e confi\u00e1vel que bloqueie sua conta com uma chave de seguran\u00e7a que cabe literalmente no seu bolso, ent\u00e3o o ideal para voc\u00ea s\u00e3o tokens de hardware com base no padr\u00e3o U2F (Universal 2nd Factor), criado pela FIDO Alliance.<\/p>\n Como os tokens U2F da FIDO funcionam<\/strong><\/p>\n Os tokens de hardware U2F s\u00e3o os queridinhos dos especialistas de seguran\u00e7a, sobretudo porque, de uma perspectiva do usu\u00e1rio, funcionam de maneira bem simples. Para come\u00e7ar, simplesmente conecte o token U2F ao seu dispositivo e o registre em um servi\u00e7o compat\u00edvel. O processo completo demora apenas alguns cliques.<\/p>\n Depois disso, para confirmar o login no servi\u00e7o, vai precisar conectar o token U2F ao dispositivo do qual est\u00e1 fazendo o login e clicar no bot\u00e3o do token (alguns dispositivos exigem um c\u00f3digo PIN ou uma leitura de impress\u00e3o digital, mas isso \u00e9 um recurso extra). Pronto \u2013 sem configura\u00e7\u00f5es complexas, nem inser\u00e7\u00e3o de longas sequ\u00eancias de caracteres aleat\u00f3rios, ou complica\u00e7\u00f5es adicionais frequentemente associadas \u00e0 palavra criptografia<\/em>. A chave privada \u00e9 usada para criptografar a confirma\u00e7\u00e3o do login, que \u00e9 passada para o servidor e pode ser descriptografada com a chave p\u00fablica. Se algu\u00e9m que estiver tentando se passar por voc\u00ea tentar transferir uma confirma\u00e7\u00e3o de login criptografada com a chave privada errada, descriptograf\u00e1-la com a chave p\u00fablica vai produzir palavras desconexas, e o servi\u00e7o n\u00e3o vai autorizar o acesso \u00e0 conta.<\/p>\n Que tipos de dispositivos U2F existem?<\/strong><\/p>\n O exemplo mais famoso e comum de U2F \u00e9 o YubiKey, produzido pela Yubico. A empresa basicamente encabe\u00e7ou esse padr\u00e3o mas escolheu distribui-lo abertamente, motivo pelo qual a FIDO Alliance foi criada. E por se tratar de um padr\u00e3o aberto, sua escolha n\u00e3o \u00e9 restrita: dispositivos compat\u00edveis com o U2F s\u00e3o produzidos e vendidos por v\u00e1rias empresas, e lojas online oferecem diferentes modelos. Modelos b\u00e1sicos de tokens U2F geralmente suportam apenas U2F e custam de $10 a $20. Outros dispositivos mais caros ($20 a $50) tamb\u00e9m podem funcionar como um cart\u00e3o inteligente, gerar senhas \u00fanicas (inclusive OATH TOTP e HOTP), gerar e armazenar chaves de criptografia PGP, e serem usados para acessar Windows, macOS, Linux, e assim por diante.<\/p>\n Ent\u00e3o, qual autentica\u00e7\u00e3o de dois fatores escolher? N\u00e3o h\u00e1 uma resposta universal para essa pergunta. Diversas vers\u00f5es de 2FA e combina\u00e7\u00f5es podem ser usadas por diferentes servi\u00e7os. Por exemplo, contas priorit\u00e1rias (uma caixa de entrada linkada a outras contas, etc.) devem ser protegidas ao m\u00e1ximo \u2013 ou seja, com um token de hardware U2F com todas as outras op\u00e7\u00f5es 2FA bloqueadas. Dessa forma, pode ter certeza de que ningu\u00e9m mais ter\u00e1 acesso \u00e0 sua conta sem esse token.<\/p>\n Uma boa op\u00e7\u00e3o \u00e9 linkar duas chaves \u00e0 sua conta, como as dos carros: uma est\u00e1 sempre no seu bolso, a outra em um lugar seguro caso perca a primeira. Al\u00e9m disso, voc\u00ea pode usar diferentes tipos de chaves: por exemplo, um aplicativo de autentica\u00e7\u00e3o no seu smartphone como a principal, e um token U2F ou peda\u00e7o de papel com as senhas \u00fanicas no seu cofre como backup.<\/p>\nTamb\u00e9m h\u00e1 um app para isso: aplicativos de autentica\u00e7\u00e3o<\/h3>\n
Como funciona um aplicativo de autentica\u00e7\u00e3o?<\/strong><\/h4>\n
\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10002817\/2fa-practical-guide-app-registration-EN-1024x842.png\")
<\/strong><\/p>\nCompatibilidade entre apps 2FA e servi\u00e7os<\/strong><\/h3>\n
Melhores apps de autentica\u00e7\u00e3o de dois fatores<\/strong><\/h3>\n
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003057\/2fa-practical-guide-google-icon.png\"){kind=icon}
\nO Google Authenticator \u00e9 o aplicativo 2FA mais f\u00e1cil de usar que existe. Nem mesmo possui configura\u00e7\u00f5es. Permite apenas que voc\u00ea adicione um novo token (nome dado ao gerador de c\u00f3digos para uma conta em particular) ou delete um existente. Para copiar um c\u00f3digo, tudo que precisa fazer \u00e9 clicar. Pronto!<\/p>\n\n
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003228\/2fa-practical-guide-duo-icon.png\"){kind=icon}
\nO Duo Mobile tamb\u00e9m \u00e9 extremamente f\u00e1cil de usar, minimalista e sem configura\u00e7\u00f5es adicionais. Tem uma vantagem sobre o Google Authenticator: mant\u00e9m os c\u00f3digos ocultos por padr\u00e3o \u2013 para v\u00ea-los, o usu\u00e1rio precisa clicar no token espec\u00edfico. Se, assim como eu, n\u00e3o gosta de mostrar um monte de c\u00f3digos para todas as suas contas cada vez que abre o autenticador, ent\u00e3o essa funcionalidade do Duo Mobile foi feita para voc\u00ea.<\/p>\n
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003324\/2fa-practical-guide-microsoft-icon.png\"){kind=icon}
A Microsoft tamb\u00e9m escolheu usar a abordagem simples no seu autenticador minimalista. Dito isso, o Microsoft Authenticator possui visivelmente mais recursos do que o Google Authenticator. Para come\u00e7ar, apesar de todos os c\u00f3digos serem mostrados por padr\u00e3o, cada token pode ser individualmente configurado para ser ocultado.<\/p>\n\n
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003430\/2fa-practical-guide-freeotp-icon.png\"){kind=icon}
H\u00e1 quatro raz\u00f5es pelas quais pode querer escolher essa cria\u00e7\u00e3o da Red Hat. Primeiro, o software \u00e9 open source. Segundo, \u00e9 o aplicativo mais leve da nossa lista \u2013 a vers\u00e3o iOS tem apenas 750KB (em compara\u00e7\u00e3o, o minimalista Google Authenticator requer quase 14MB, e o Authy, que vamos discutir a seguir, gritantes 44MB).<\/p>\n\n
\n<\/strong>Plataformas suportadas:<\/strong>\u00a0Android<\/a>, iOS<\/a>, Windows<\/a>, macOS<\/a>, Chrome<\/a>
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003559\/2fa-practical-guide-authy-icon.png\"){kind=icon}
O Authy \u00e9 o mais sofisticado dos aplicativos 2FA, sendo a principal vantagem o fato de que todos os tokens s\u00e3o armazenados na nuvem. Isso possibilita que sejam acessados a partir de qualquer um dos seus dispositivos. Ao mesmo tempo, simplifica a migra\u00e7\u00e3o para novos dispositivos. N\u00e3o \u00e9 preciso reativar a 2FA em cada servi\u00e7o, ent\u00e3o pode continuar usando os tokens existentes.<\/p>\n\n
Autenticadores U2F de hardware da FIDO: YubiKey e outros<\/h3>\n
\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/01\/10003841\/2fa-practical-guide-U2F-EN-1024x561.jpg\")
Ao mesmo tempo, por tr\u00e1s das cortinas as coisas s\u00e3o inteligentes e criptograficamente s\u00f3lidas: ao registrar um token em um servi\u00e7o, duas chaves criptogr\u00e1ficas s\u00e3o criadas \u2013 uma privada e uma p\u00fablica. A chave p\u00fablica \u00e9 armazenada no servidor e a privada \u00e9 armazenada em um chip Secure Element<\/a>, que \u00e9 o cora\u00e7\u00e3o do token U2F, e nunca sai do dispositivo.<\/p>\n
\nPor exemplo, a Google recentemente introduziu uma su\u00edte de autenticadores sob a bandeira de Google Titan Security Keys. Na verdade, s\u00e3o chaves produzidas pela Feitian Technologies (a segunda fabricante mais popular de tokens U2F, depois da Yubico) para as quais a Google desenvolveu seu pr\u00f3prio firmware.<\/p>\nO que escolher: SMS, aplicativo ou YubiKey?<\/h3>\n