Cadeados

Autenticação de dois fatores: por que usar e onde ativar

Um recurso que você deveria ativar agora mesmo em todas as contas possíveis é a autenticação de dois fatores. Funciona como instalar uma segunda fechadura na porta de entrada dos serviços que você usa.

A primeira fechadura é algo que você sabe: a sua senha. A segunda fechadura é algo que você tem: um gerador de códigos. Somente com os dois juntos é possível ter acesso à sua conta.

Ainda que uma pessoa mal intencionada tenha a chave para a primeira fechadura, não vai conseguir passar daí. Para destravar a segunda, é necessário um código que expira a cada 30 segundos.

Ele é gerado por programas e serviços como o Google Authenticator, WinAuth e Authy que são compatíveis com o padrão TOTP. Essa sigla se refere a Time-based One Time Password ou uma senha de uso único que é gerada com base na hora.

O Authy funciona sincronizado com a nuvem, podendo ser usado em múltiplos dispositivos. Ele também fornece uma implementação proprietária para empresas, que é usado por serviços como MercadoLivre, Cloudflare e Namecheap.

O problema disso é que oficialmente não é possível exportar os tokens para usar com outros programas compatíveis, ainda mais se estamos falando da implementação proprietária. Mas já deram um jeito nisso.

Se quiser mais controle sobre seus códigos, experimente o WinAuth. Ele é compatível até mesmo com o gerador de códigos da Blizzard, que é proprietário de ponta a ponta.

Assim você não precisa de um app extra no telefone para gerar códigos de um serviço só. Se você não usa Windows, há ainda inúmeros outros programas e implementações compatíveis com TOTP para variados sistemas.

Existem ainda outros tipos de autenticação de dois fatores, como o através de biometria e a YubiKey, que faz uso de um dispositivo USB para autorizar seus logins. Serviços como Google e LastPass são compatíveis com este último.

Por que usar

Há muitas pessoas mal intencionadas interessadas em contas de email, nas contas em sites de comércio eletrônico, nas contas de jogos online, em contas de serviços de pagamentos online…

Todas elas e muitas outras têm coisas que interessam a criminosos, que podem através delas obter dados pessoais e sigilosos (CPF, endereço, etc), fazer compras em seu nome, invadir outras contas e muitas outras coisas ruins.

Há ainda casos de vazamentos de informações que vira e mexe acontecem com serviços online. Existe até um site chamado Have I Been Pwned que permite pesquisar e saber se seus dados já vazaram em algum evento do passado.

Seus logins e senhas podem já estar disponíveis na internet, o que se torna um problema ainda maior se você usa senhas fáceis demais ou a mesma sequência para vários sites.

Como já explicado, mesmo em casos assim, um criminoso precisaria ter ainda o código informado pelo gerador de códigos para ingressar em suas contas. Estes são alguns dos motivos para ter a autenticação de dois fatores ativa.

O perigoso torpedo

Infelizmente, enquanto algumas empresas oferecem autenticação de dois fatores, muitas ainda dependem exclusivamente do SMS para tal. Este meio não dispõe de criptografia e é repleto de falhas, sendo considerado inseguro.

É possível interceptar os torpedos e existem casos até de vítimas que tiveram suas linhas resgatadas em outro chip na loja da operadora pelo criminoso, que passou a poder receber as mensagens.

Há quem diga que, apesar desses defeitos, ter autenticação de dois fatores por SMS pode ser melhor do que nada. O ideal é entrar em contato com a empresa ou serviço e pedir que implementem uma solução TOTP.

Se existir outra opção além do SMS, prefira elas ao torpedo. E se você puder desativar o recebimento de códigos por mensagem de texto enquanto usa outra opção, melhor ainda.

Use um gerenciador de senhas

Não use o pretexto de ter ativado a autenticação de dois fatores para usar senhas inseguras ou a mesma sequência para vários sites. É importante criar uma senha forte e única para cada serviço.

Mas claro que não é possível memorizar tudo e por isso acabamos criando senhas fracas e repetidas. Uma solução para isso é usar um gerenciador de senha. Você só precisa lembrar uma e esquecer das outras.

Até porque não dá para memorizar sequências como td~pZy2Kqns#*Ju?n%u4, não é mesmo? Algumas opções populares são o LastPass e o 1Password. Mas se quiser ter mais controle e uso offline, experimente o KeePass.

Após criar uma conta ou banco de dados numa dessas opções, altere as senhas dos seus serviços usando os geradores fornecidos por cada uma. Crie senhas com 20 caracteres, se possível. Inclua letras, números e símbolos.

Através dos complementos para navegador e aplicativos para smartphone, você pode preencher os campos de login automaticamente. No caso do KeePass, você pode até usá-lo como gerador de códigos TOTP no desktop.

Porém, no geral, esta é a opção menos tudo-em-um das três. São necessários complementos de terceiros para realizar as integrações. Para navegadores, recomendo o Kee. Outros aplicativos compatíveis você encontra aqui.

Para sincronizar o banco de dados com a nuvem e acessá-lo de qualquer lugar ou aplicativo, salve-o na pasta sincronizada de serviços como OneDrive e Google Drive ou instale um complemento.

Considerações finais

Ative agora mesmo a autenticação de dois fatores nas contas que você usa. Para saber quais sites e serviços disponibilizam esse recurso de segurança, dê uma olhada nesta página. Porém só sites estrangeiros constam na lista.

Pode ser chato ter que digitar um código extra ao fazer login, mas se você não costuma limpar os cookies do navegador sempre, isso não deve ser problema após entrar apenas uma vez.

Caso você fique sem seu telefone ou computador e não possa gerar os códigos para entrar em um novo dispositivo, veja se o serviço oferece códigos de backup. Assim você não perde acesso à sua conta.

Mas lembre-se de manter esses códigos em local seguro longe de olhos curiosos para não se tornar uma brecha de segurança e permitir acesso não autorizado aos seus serviços.

Manter suas contas seguras é muito importante, principalmente as de email, já que a partir delas é possível invadir muitas outras. Ainda que possa parecer remoto, qualquer um pode se tornar uma vítima.

Nada garante segurança impecável, mas não é por isso que vamos facilitar, não é mesmo? Nunca mais um vazamento de senhas vai te deixar tão preocupado após fortalecer a segurança de sua vida online.