Os especialistas em seguran\u00e7a da informa\u00e7\u00e3o h\u00e1 muito concordam que a forma mais confi\u00e1vel de autentica\u00e7\u00e3o de dois com c\u00f3digo \u00fanico \u00e9 por meio de um aplicativo autenticador. A maioria dos servi\u00e7os oferece esse m\u00e9todo como um segundo n\u00edvel de prote\u00e7\u00e3o da conta, enquanto, em alguns casos, a autentica\u00e7\u00e3o de dois fatores usando um c\u00f3digo de um aplicativo \u00e9 a \u00fanica op\u00e7\u00e3o dispon\u00edvel.<\/p>\n
Mas as raz\u00f5es pelas quais os c\u00f3digos \u00fanicos s\u00e3o considerados t\u00e3o seguros raramente s\u00e3o discutidas, ent\u00e3o surgem quest\u00f5es leg\u00edtimas sobre se esta \u00e9 realmente uma boa op\u00e7\u00e3o, qu\u00e3o confi\u00e1vel ela \u00e9, quais perigos valem a pena considerar e o que voc\u00ea precisa ter em mente ao usar este m\u00e9todo de autentica\u00e7\u00e3o de dois fatores. O principal objetivo deste post \u00e9 responder a essas perguntas.<\/p>\n
Geralmente, esses aplicativos funcionam da seguinte maneira: o servi\u00e7o no qual voc\u00ea est\u00e1 autenticando e o pr\u00f3prio autenticador compartilham um n\u00famero \u2014 uma chave secreta (contida em um c\u00f3digo QR que voc\u00ea usa para habilitar a autentica\u00e7\u00e3o desse servi\u00e7o no aplicativo). O autenticador e o servi\u00e7o usam simultaneamente o mesmo algoritmo para gerar um c\u00f3digo baseado nessa chave e no hor\u00e1rio atual.<\/p>\n
Quando voc\u00ea insere o c\u00f3digo que seu app autenticador gerou, o servi\u00e7o o compara com o que ele mesmo gerou. Se os c\u00f3digos coincidirem, a libera\u00e7\u00e3o ser\u00e1 feita e o acesso \u00e0 conta ser\u00e1 autorizado (se n\u00e3o, n\u00e3o vai conseguir). Al\u00e9m disso, quando voc\u00ea conecta o aplicativo autenticador por meio de um c\u00f3digo QR, muitas informa\u00e7\u00f5es s\u00e3o transferidas al\u00e9m da chave secreta. Isso inclui o per\u00edodo de expira\u00e7\u00e3o do c\u00f3digo \u00fanico (geralmente 30 segundos).<\/p>\n
A informa\u00e7\u00e3o mais importante \u2013 a chave secreta \u2013 \u00e9 transmitida apenas uma vez, quando o servi\u00e7o faz par com o autenticador, e ent\u00e3o ambas as partes se conectam por ela. Ou seja, como existe a cada vez um novo login na conta, nenhuma informa\u00e7\u00e3o \u00e9 transmitida do servi\u00e7o para o seu autenticador, ent\u00e3o n\u00e3o h\u00e1 nada para ser interceptado. Na verdade, os aplicativos autenticadores nem precisam de acesso \u00e0 internet para realizar sua fun\u00e7\u00e3o principal. Tudo o que, teoricamente, um hacker pode obter \u00e9 o c\u00f3digo \u00fanico real que o sistema gera para voc\u00ea inserir. E esse c\u00f3digo \u00e9 v\u00e1lido por apenas meio minuto ou pouco mais.<\/p>\n
J\u00e1 discutimos com mais detalhes como os aplicativos autenticadores funcionam em uma publica\u00e7\u00e3o separada<\/a>. Recomendamos a leitura para quem quiser saber sobre os padr\u00f5es de autentica\u00e7\u00e3o, as informa\u00e7\u00f5es contidas nos c\u00f3digos QR para conectar esses aplicativos e sobre os servi\u00e7os incompat\u00edveis com os autenticadores mais comuns.<\/p>\n Vamos resumir as principais vantagens da autentica\u00e7\u00e3o de c\u00f3digo \u00fanico de um aplicativo:<\/p>\n Como voc\u00ea pode ver, o sistema \u00e9 bem pensado. Seus desenvolvedores fizeram tudo ao alcance para torn\u00e1-lo o mais seguro poss\u00edvel. Mas nenhuma solu\u00e7\u00e3o \u00e9 completamente segura. Portanto, mesmo ao usar a autentica\u00e7\u00e3o por c\u00f3digo de um aplicativo, h\u00e1 alguns riscos a serem considerados e precau\u00e7\u00f5es a serem tomadas. \u00c9 sobre isso que falaremos a seguir.<\/p>\n\n Mencionamos acima que a autentica\u00e7\u00e3o com c\u00f3digos \u00fanicos de um aplicativo \u00e9 uma \u00f3tima prote\u00e7\u00e3o contra vazamentos de senha. E em um mundo perfeito, seria. Infelizmente, n\u00e3o paramos por a\u00ed, pois h\u00e1 uma nuance crucial que decorre do fato de que os servi\u00e7os geralmente n\u00e3o querem perder seus usu\u00e1rios por causa de um detalhe t\u00e3o pequeno e irritante, como perder o autenticador (que pode acontecer com qualquer um); portanto, eles geralmente fornecem uma maneira alternativa de fazer login nas contas: enviando um c\u00f3digo \u00fanico ou link de confirma\u00e7\u00e3o para um endere\u00e7o de e-mail associado.<\/p>\n Isso significa que, se ocorrer um vazamento e os invasores souberem a senha e o endere\u00e7o de e-mail ao qual est\u00e1 vinculado, eles podem tentar usar esse m\u00e9todo alternativo para fazer login na conta. E se o seu e-mail estiver mal protegido (especialmente se voc\u00ea usar a mesma senha para ele e n\u00e3o habilitar a autentica\u00e7\u00e3o de dois fatores), \u00e9 muito prov\u00e1vel que os hackers consigam driblar a inser\u00e7\u00e3o de um c\u00f3digo \u00fanico de um aplicativo.<\/p>\n O que vale a pena fazer sobre isso:<\/p>\n Algu\u00e9m pode olhar por cima do seu ombro quando voc\u00ea estiver usando um aplicativo autenticador e ver o c\u00f3digo \u00fanico. E n\u00e3o apenas um c\u00f3digo, pois os autenticadores geralmente exibem v\u00e1rios c\u00f3digos seguidos. Assim, o invasor poderia fazer login em qualquer uma dessas contas se visse o c\u00f3digo. \u00c9 claro que os hackers n\u00e3o teriam muito tempo para aproveitar o que avistavam. Mas \u00e9 melhor n\u00e3o arriscar \u2013 30 segundos podem ser tempo suficiente para um cibercriminoso de dedos \u00e1geis\u2026<\/p>\n A situa\u00e7\u00e3o \u00e9 mais perigosa se algu\u00e9m conseguir colocar as m\u00e3os em um smartphone desbloqueado com um autenticador. Nesse caso, esse algu\u00e9m poderia muito bem aproveitar a oportunidade para entrar em suas contas sem muita pressa ou dificuldade.<\/p>\n Como minimizar tais riscos:<\/p>\n A maioria dos sites de phishing projetados para ataques em massa s\u00e3o bastante primitivos. Seus criadores geralmente se contentam em roubar logins e senhas, e na sequ\u00eancia vender esse material por atacado por uns trocados, em algum lugar da dark web. Obviamente, a autentica\u00e7\u00e3o de dois fatores \u00e9 a prote\u00e7\u00e3o perfeita contra esses hackers: mesmo que algu\u00e9m obtenha suas credenciais de login, elas s\u00e3o completamente in\u00fateis sem um c\u00f3digo \u00fanico de um aplicativo.<\/p>\n No entanto, em sites de phishing elaborados de forma mais cuidadosa e plaus\u00edvel, especialmente aqueles projetados para ataques direcionados, os phishers tamb\u00e9m podem imitar o mecanismo de verifica\u00e7\u00e3o de autentica\u00e7\u00e3o de dois fatores. Nesse caso, eles interceptar\u00e3o n\u00e3o apenas o login e a senha, mas tamb\u00e9m o c\u00f3digo \u00fanico. Depois disso, os invasores far\u00e3o login rapidamente na conta real da v\u00edtima, enquanto o site de phishing pode emitir uma mensagem de erro e sugerir uma nova tentativa.<\/p>\n Infelizmente, apesar de sua aparente simplicidade, o phishing continua sendo um truque extremamente eficaz para criminosos, e pode ser dif\u00edcil se proteger contra as vers\u00f5es sofisticadas dos golpes. O conselho geral aqui \u00e9 o seguinte:<\/p>\n Para dizer o m\u00ednimo, as pessoas realmente n\u00e3o gostam de passar pelo processo de autentica\u00e7\u00e3o completo. Portanto, os servi\u00e7os tentam n\u00e3o incomodar seus usu\u00e1rios desnecessariamente. Na verdade, na maioria dos casos, voc\u00ea s\u00f3 precisa ser totalmente autenticado com uma senha e um c\u00f3digo de confirma\u00e7\u00e3o ao fazer login na sua conta em cada dispositivo pela primeira vez. Ou talvez mais tarde \u2013 se voc\u00ea acidentalmente limpou os cookies do seu navegador.<\/p>\n Depois de fazer login com sucesso, o servi\u00e7o salva um pequeno cookie<\/a> em seu computador, que cont\u00e9m um n\u00famero longo e muito secreto. Este arquivo \u00e9 o que seu navegador apresentar\u00e1 ao servi\u00e7o para autentica\u00e7\u00e3o a partir de agora. Portanto, se algu\u00e9m conseguir roubar esse arquivo, ele poder\u00e1 ser usado para entrar na sua conta. Nenhuma senha ou c\u00f3digo \u00fanico ser\u00e1 necess\u00e1rio para isso.<\/p>\n Esses arquivos (juntamente com v\u00e1rias outras informa\u00e7\u00f5es, como senhas salvas no navegador, chaves de carteira de criptomoedas e outros itens semelhantes) podem ser roubados por Trojans<\/a>. Se voc\u00ea tiver a infelicidade de ter um arquivo malicioso desses em seu computador, h\u00e1 uma boa chance de que suas contas sejam invadidas, mesmo com todas as outras precau\u00e7\u00f5es.<\/p>\n Para evitar que isso aconte\u00e7a:<\/p>\n O acesso \u00e0s suas contas tamb\u00e9m pode ser perdido devido \u00e0 prote\u00e7\u00e3o ser muito forte. Por exemplo: na hip\u00f3tese de voc\u00ea proibir o acesso \u00e0s suas contas sem um c\u00f3digo de autentica\u00e7\u00e3o e, na sequ\u00eancia, voc\u00ea perder acesso ao autenticador. Nesse caso, voc\u00ea pode perder permanentemente suas contas e informa\u00e7\u00f5es nelas contidas. Ou pelo menos voc\u00ea tem a garantia de alguns dias nada divertidos de correspond\u00eancia chorosa com o suporte para restaura\u00e7\u00e3o de acesso<\/a>.<\/p>\n Na verdade, existem algumas circunst\u00e2ncias em que voc\u00ea pode perder seu autenticador:<\/p>\n Todos esses s\u00e3o eventos imprevis\u00edveis, por isso \u00e9 melhor se preparar com anteced\u00eancia para evitar consequ\u00eancias desagrad\u00e1veis:<\/p>\n Vamos resumir. A pr\u00f3pria autentica\u00e7\u00e3o de dois fatores reduz seriamente o risco de suas contas serem invadidas, mas n\u00e3o garante seguran\u00e7a total. Portanto, vale a pena tomar precau\u00e7\u00f5es extras:<\/p>\n Explicamos como funciona a autentica\u00e7\u00e3o de dois fatores com c\u00f3digos \u00fanicos, quais s\u00e3o os benef\u00edcios, riscos e o que mais voc\u00ea pode fazer para proteger suas contas.<\/p>\n","protected":false},"author":2726,"featured_media":20917,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12,1029],"tags":[913],"class_list":{"0":"post-20916","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-technology","9":"tag-2fa"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/authenticator-apps-and-security\/20916\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/authenticator-apps-and-security\/25345\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/authenticator-apps-and-security\/20786\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/authenticator-apps-and-security\/27957\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/authenticator-apps-and-security\/25638\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/authenticator-apps-and-security\/26070\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/authenticator-apps-and-security\/28521\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/authenticator-apps-and-security\/34781\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/authenticator-apps-and-security\/47426\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/authenticator-apps-and-security\/20291\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/authenticator-apps-and-security\/29890\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/authenticator-apps-and-security\/25948\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/authenticator-apps-and-security\/31660\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/authenticator-apps-and-security\/31367\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20916"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20916\/revisions"}],"predecessor-version":[{"id":20918,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20916\/revisions\/20918"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20917"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Qual \u00e9 a seguran\u00e7a da 2FA com um c\u00f3digo \u00fanico?<\/h2>\n
\n
Vazamentos, ataque contra e-mail e solu\u00e7\u00f5es alternativas<\/h2>\n
\n
Acesso f\u00edsico e pessoas que espiam nas suas costas<\/h2>\n
\n
Sites de phishing<\/h2>\n
\n
Malwares ladr\u00f5es<\/h2>\n
\n
A aus\u00eancia de backups dos autenticadores<\/h2>\n
\n
\n
Como se manter seguro<\/h2>\n
\n