Por que as pessoas estão dizendo que a autenticação de dois fatores não é perfeita

Quando a autenticação de dois fatores foi introduzida pela primeira vez, ela revolucionou a segurança do dispositivo e ajudou a tornar o roubo de identidade muito mais difícil – com o pequeno custo de pequenos inconvenientes adicionados aos logins.

Conteúdo

  • O que exatamente é a autenticação de dois fatores?
  • Isso soa bastante seguro. Qual é o problema?
  • Devo continuar usando a autenticação de dois fatores?
  • Como a autenticação de dois fatores pode ser melhorada?

Mas não é perfeito, nem resolveu todos os nossos problemas de hacking e roubo de dados. Algumas notícias recentes forneceram mais contexto sobre como os hackers têm evitado a autenticação de dois fatores e corroendo parte de nossa confiança nela.

Autenticação de dois fatores em um laptop.

O que exatamente é a autenticação de dois fatores?

A autenticação de dois fatores adiciona uma camada extra de segurança ao processo de login para dispositivos e serviços. Anteriormente, os logins tinham um único fator de autenticação – normalmente, uma senha ou um login biométrico como uma impressão digital ou Face ID, ocasionalmente com a adição de perguntas de segurança. Isso forneceu alguma segurança, mas estava longe de ser perfeito, especialmente com senhas fracas ou senhas preenchidas automaticamente (ou se os bancos de dados de login forem invadidos e essas informações começarem a aparecer na dark web).

Relacionado

  • Veja por que as pessoas estão dizendo para evitar o M2 Pro MacBook Pro básico
  • A autenticação de dois fatores SMS do Twitter está com problemas. Veja como alternar métodos
  • As senhas são difíceis e as pessoas são preguiçosas, mostra um novo relatório

A autenticação de dois fatores resolve esses problemas adicionando um segundo fator, outra coisa que uma pessoa precisa fazer para garantir que são realmente eles e têm autoridade para acessar. Normalmente, isso significa receber um código por outro canal, como receber uma mensagem de texto ou e-mail do serviço, que você precisa inserir.

Exemplo de autenticação Duo.

Alguns usam códigos sensíveis ao tempo (TOTP, senha única baseada em tempo) e alguns usam códigos exclusivos associados a um dispositivo específico (HOTP, senha única baseada em HMAC). Certas versões comerciais podem até usar chaves físicas adicionais que você precisa ter em mãos.

Vídeos recomendados

O recurso de segurança tornou-se tão comum que você provavelmente está acostumado a ver mensagens do tipo: “Enviamos um e-mail com um código seguro para inserir, verifique seu filtro de spam, caso não o tenha recebido.” É mais comum para novos dispositivos e, embora demore um pouco, é um grande salto na segurança em comparação com um fator único métodos. Mas existem algumas falhas.

Isso soa bastante seguro. Qual é o problema?

Recentemente, saiu um relatório da empresa de segurança cibernética Sophos detalhando uma nova maneira surpreendente de os hackers estão ignorando a autenticação de dois fatores: biscoitos. Pessoas mal-intencionadas têm “roubado cookies”, o que lhes dá acesso a praticamente qualquer tipo de navegador, serviço da Web, conta de e-mail ou até mesmo arquivo.

Como esses cibercriminosos obtêm esses cookies? Bem, a Sophos observa que o botnet Emotet é um desses malwares que roubam cookies e visam dados nos navegadores Google Chrome. As pessoas também podem comprar cookies roubados por meio de mercados clandestinos, que ficou famoso no caso recente da EA, em que detalhes de login foram parar em um mercado chamado Genesis. O resultado foram 780 gigabytes de dados roubados que foram usados ​​para tentar extorquir a empresa.

Embora esse seja um caso de alto perfil, o método subjacente está disponível e mostra que a autenticação de dois fatores está longe de ser uma bala de prata. Além do roubo de cookies, vários outros problemas foram identificados ao longo dos anos:

  • Se um hacker tiver obteve seu nome de usuário ou senha para um serviço, eles podem ter acesso ao seu e-mail (especialmente se você usar a mesma senha) ou número de telefone. Isso é especialmente problemático para autenticação de dois fatores baseada em SMS/texto, porque os números de telefone são fáceis de encontrar e podem ser usados ​​para copiar seu telefone (entre outros truques) e receber o código de texto. Dá mais trabalho, mas um hacker determinado ainda tem um caminho claro a seguir.
  • Aplicativos separados para autenticação de dois fatores, como Google Auth ou Duo, são muito mais seguros, mas as taxas de adoção são muito baixas. As pessoas tendem a não querer baixar outro aplicativo apenas por motivos de segurança para um único serviço e as organizações acham muito mais fácil simplesmente perguntar “E-mail ou mensagem de texto?” em vez de exigir que os clientes baixem um aplicativo de terceiros. Em outras palavras, os melhores tipos de autenticação de dois fatores não estão realmente sendo usados.
  • Às vezes, as senhas são muito fáceis de redefinir. Ladrões de identidade podem coletar informações suficientes sobre uma conta para ligar para o atendimento ao cliente ou encontrar outras maneiras de solicitar uma nova senha. Isso geralmente contorna qualquer autenticação de dois fatores envolvida e, quando funciona, permite aos ladrões acesso direto à conta.
  • Formas mais fracas de autenticação de dois fatores oferecem pouca proteção contra estados-nação. Os governos têm ferramentas que podem combater facilmente a autenticação de dois fatores, incluindo monitoramento de mensagens SMS, coerção de operadoras sem fio ou interceptação de códigos de autenticação de outras maneiras. Isso não é uma boa notícia para quem deseja manter seus dados privados de regimes mais totalitários.
  • Muitos esquemas de roubo de dados ignoram totalmente a autenticação de dois fatores, concentrando-se em enganar os humanos. Basta olhar para todas as tentativas de phishing que fingem ser de bancos, agências governamentais, provedores de internet, etc., solicitando informações importantes da conta. Essas mensagens de phishing podem parecer muito reais e podem envolver algo como: “Precisamos da sua código de autenticação do nosso lado para que também possamos confirmar que você é o titular da conta”, ou outros truques para obter códigos.

Devo continuar usando a autenticação de dois fatores?

Absolutamente. Na verdade, você deve passar por seus serviços e dispositivos e habilitar a autenticação de dois fatores onde estiver disponível. Ele oferece segurança significativamente melhor contra problemas como roubo de identidade do que um simples nome de usuário e senha.

Mesmo a autenticação de dois fatores baseada em SMS é muito melhor do que nenhuma. De fato, o Instituto Nacional de Padrões e Tecnologia uma vez recomendou o uso de SMS na autenticação de dois fatores, mas depois reverteu no ano seguinte porque, apesar das falhas, ainda valia a pena ter.

Sempre que possível, escolha um método de autenticação que não esteja vinculado a mensagens de texto e você terá uma melhor forma de segurança. Além disso, mantenha suas senhas fortes e use um gerenciador de senhas para gerá-los para logins, se puder.

As configurações de segurança e privacidade são abertas em um MacBook.

Como a autenticação de dois fatores pode ser melhorada?

Afastar-se da autenticação baseada em SMS é o grande projeto atual. É possível que a autenticação de dois fatores faça a transição para um punhado de aplicativos de terceiros como o Duo, que removem muitos dos pontos fracos associados ao processo. E mais campos de alto risco passarão para MFA, ou autenticação multifator, que adiciona um terceiro requisito, como uma impressão digital ou questões de segurança adicionais.

Mas a melhor maneira de remover problemas com a autenticação de dois fatores é introduzir um aspecto físico baseado em hardware. Empresas e agências governamentais já estão começando a exigir isso para determinados níveis de acesso. Em um futuro próximo, há uma boa chance de todos nós termos cartões de autenticação personalizados em nossas carteiras, prontos para usar em nossos dispositivos ao fazer login nos serviços. Pode soar estranho agora, mas com o aumento acentuado de ataques de segurança cibernética, pode acabar sendo a solução mais elegante.

Recomendações dos editores

  • Por que a Nvidia RTX 4060 Ti simplesmente não é suficiente para 2023
  • As fileiras de hackers explodem - veja como você pode se proteger
  • Por que o modo de navegação anônima do Google Chrome não é o que afirma ser
  • É por isso que as pessoas estão dizendo que não vale a pena esperar pela Nvidia RTX 4090
  • É por isso que as pessoas estão dizendo para comprar o M1 MacBook Air em vez do M2

Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.

Categorias

Recente

Como a tecnologia pode nos ajudar a alimentar um mundo de 9 bilhões de pessoas?

Como a tecnologia pode nos ajudar a alimentar um mundo de 9 bilhões de pessoas?

A agricultura percorreu um longo caminho no séc...

Carnegie Mellon está usando drones, robôs e IA para arrastar a agricultura para o novo século

Carnegie Mellon está usando drones, robôs e IA para arrastar a agricultura para o novo século

A agricultura percorreu um longo caminho no séc...

RoboBees, santuários urbanos e colmeias quentes podem salvar o mundo do 'apocalipse das abelhas'

RoboBees, santuários urbanos e colmeias quentes podem salvar o mundo do 'apocalipse das abelhas'

A agricultura percorreu um longo caminho no séc...

Privacy2024 © Tech Tips & Reviews. ALL Rights Reserved.

Tech Tips & Reviews