21Jul
Muitos serviços on-line oferecem autenticação de dois fatores, o que aumenta a segurança ao exigir mais do que sua senha para fazer login. Existem muitos tipos diferentes de métodos de autenticação adicionais que você pode usar.
Diferentes serviços oferecem diferentes métodos de autenticação de dois fatos e, em alguns casos, você pode escolher entre algumas opções diferentes. Veja como eles funcionam e como eles diferem.
Verificação de SMS
Muitos serviços permitem que você se inscreva para receber uma mensagem SMS sempre que você entrar em sua conta. Essa mensagem SMS conterá um código curto de uso único que você terá que inserir. Com este sistema, seu celular é usado como o segundo método de autenticação. Alguém não pode apenas entrar em sua conta se tiver sua senha - eles precisam de sua senha e acesso ao seu telefone ou suas mensagens SMS.
Isso é conveniente, pois você não precisa fazer nada especial, e a maioria das pessoas tem telefones celulares. Alguns serviços irão mesmo discar um número de telefone e ter um sistema automático falando um código, permitindo que você use isso com um número de telefone fixo que não pode receber mensagens de texto.
No entanto, existem grandes problemas com a verificação de SMS.Os atacantes podem usar ataques de swap SIM para obter acesso aos seus códigos seguros ou interceptá-los graças a falhas na rede celular. Recomendamos contra a utilização de mensagens SMS, se possível. No entanto, as mensagens SMS ainda são muito mais seguras do que não usar qualquer autenticação de dois fatores.
Códigos gerados por aplicativos( como o Google Authenticator e Authy)
Você também pode ter seus códigos gerados por um aplicativo em seu telefone. O aplicativo mais conhecido que faz isso é o Google Authenticator, que o Google oferece para Android e iPhone. No entanto, preferimos o Authy, que faz o que o Google Authenticator faz - e muito mais. Apesar do nome, esses aplicativos usam um padrão aberto. Por exemplo, é possível adicionar contas Microsoft e muitos outros tipos de contas ao aplicativo Google Authenticator.
Instale o aplicativo, verifique o código ao configurar uma nova conta, e essa aplicação gerará novos códigos aproximadamente a cada 30 segundos. Você terá que inserir o código atual exibido no aplicativo em seu telefone, bem como sua senha quando você logar uma conta.
Isso não requer um sinal celular, e a "semente" que permite que o aplicativo gere esses códigos com limite de tempo é armazenada somente no seu dispositivo. Isso significa que é muito mais seguro, pois mesmo alguém que ganha acesso ao seu número de telefone ou intercepta suas mensagens de texto não conhecerá seus códigos.
Alguns serviços, por exemplo, Battle.net Authenticator da Blizzard, também possuem seus próprios aplicativos dedicados para geração de código.
Teclas de autenticação física
As chaves de autenticação física são outra opção que está começando a se tornar mais popular. Grandes empresas dos setores de tecnologia e financeiro estão criando um padrão conhecido como U2F, e já é possível usar um token físico U2F para proteger suas contas do Google, Dropbox e GitHub. Esta é apenas uma pequena chave USB que você colocou no seu chaveiro. Sempre que quiser entrar na sua conta a partir de um novo computador, você terá que inserir a chave USB e pressionar um botão nele.É isso mesmo - sem códigos de digitação. No futuro, esses dispositivos devem funcionar com NFC e Bluetooth para se comunicar com dispositivos móveis sem portas USB.
Esta solução funciona melhor do que a verificação de SMS e códigos de uso único porque não pode ser interceptado e desordenado. Também é mais simples e mais conveniente de usar. Por exemplo, um site de phishing pode mostrar uma página de login do Google falsa e capturar seu código de uso único quando você tentar fazer logon. Poderia usar esse código para fazer login no Google. Mas, com uma chave de autenticação física que funciona em conjunto com o seu navegador, o navegador pode garantir que ele se comunique com o site real e o código não pode ser capturado por um invasor.
Espere ver muito mais disso no futuro.
Autenticação baseada em aplicativos
Alguns aplicativos móveis podem fornecer autenticação de dois fatores usando o próprio aplicativo. Por exemplo, o Google agora oferece uma autenticação de dois fatores sem código, desde que você tenha o aplicativo Google instalado no seu telefone. Sempre que você tenta fazer login no Google a partir de outro computador ou dispositivo, basta tocar em um botão no telefone, não é necessário nenhum código. O Google está verificando se você tem acesso ao seu telefone antes de tentar fazer o login.
A verificação em duas etapas da Apple funciona da mesma forma, embora não use um aplicativo, ele usa o próprio sistema operacional iOS.Sempre que você tentar fazer logon de um novo dispositivo, você pode receber um código de uso único enviado para um dispositivo registrado, como seu iPhone ou iPad. O aplicativo móvel do Twitter possui um recurso semelhante, chamado de verificação de login também. E, a Google e a Microsoft adicionaram esse recurso aos aplicativos de smartphones Google e Microsoft Authenticator.
Sistemas baseados em email
Outros serviços dependem de sua conta de e-mail para autenticá-lo. Por exemplo, se você habilitar o Steam Guard, o Steam solicitará que você insira um código de uso único enviado ao seu email sempre que você fizer login em um novo computador. Isso, pelo menos, garante que um invasor precisaria tanto da senha da sua conta do Steam quanto do acesso à sua conta de e-mail para obter acesso a essa conta.
Isso não é tão seguro como outros métodos de verificação em duas etapas, pois pode ser fácil para alguém acessar sua conta de e-mail, especialmente se você não estiver usando uma verificação em duas etapas! Evite a verificação baseada em email se você pode usar algo mais forte.(Felizmente, o Steam oferece autenticação baseada em aplicativos no seu aplicativo para celular.)
O último recurso: códigos de recuperação
Os códigos de recuperação fornecem uma rede de segurança caso você perca o método de autenticação de dois fatores. Quando você configura a autenticação de dois fatores, geralmente você receberá códigos de recuperação que você deve escrever e armazenar em algum lugar seguro. Você vai precisar deles se você perder seu método de verificação em duas etapas.
Certifique-se de ter uma cópia de seus códigos de recuperação em algum lugar, se você estiver usando autenticação em duas etapas.
Você não encontrará essas muitas opções para cada uma de suas contas. No entanto, muitos serviços oferecem múltiplos métodos de verificação em duas etapas que você pode escolher.
Existe também a opção de usar múltiplos métodos de autenticação de dois fatores. Por exemplo, se você configurar um aplicativo gerador de código e uma chave de segurança física, você pode acessar sua conta através do aplicativo se você perder a chave física.