Mas a autenticação de dois fatores não é uma solução mágica capaz de impedir os hackers. É uma contramedida útil para ter entre as suas defesas, mas, em última análise, não substitui um conhecimento prático das maiores ameaças que enfrentamos online.
Vídeos recomendados
Ative a autenticação de dois fatores sempre que a oportunidade for oferecida – mas não cometa o erro de confiar em sua proteção se você não entende contra o que ela pode ou não se defender. Como provou 2016, manter os dados seguros é complexo e o excesso de confiança pode deixá-lo vulnerável a ataques.
Relacionado
- As senhas são difíceis e as pessoas são preguiçosas, mostra novo relatório
- O Twitter não precisa mais de números de telefone para autenticação de dois fatores
- O Google oferece sua própria chave de segurança USB ‘Titan’ para logins sem senha
Você é quem você diz que é?
Basicamente, a autenticação de dois fatores trata da verificação de credenciais. É uma forma de garantir que alguém é quem afirma ser, verificando dois tipos distintos de evidências. Esse tipo de sistema existe há anos.
Se você não entende os fundamentos da segurança do computador, não deveria ter permissão para fazer transações bancárias na Internet.
Os pagamentos com cartão de crédito com chip e PIN são talvez o exemplo mais onipresente; eles dependem de que o usuário tenha um cartão físico em sua posse e do conhecimento de seu PIN. Embora um ladrão possa roubar um cartão e aprenda o PIN, não é fácil gerenciar ambos.
Houve um tempo, não muito tempo atrás, em que as transações financeiras eram a única razão pela qual as pessoas tinham de autenticar a sua identidade regularmente. Hoje, qualquer pessoa que usa a Internet tem uma série de contas às quais não gostaria que qualquer pessoa tivesse acesso, por vários motivos.
A indústria financeira conseguiu implementar a autenticação de dois fatores com muita facilidade, porque o único hardware que precisava ser distribuído era um cartão bancário. Distribuir um sistema semelhante para sites do dia a dia é quase impossível, portanto, os dois fatores são habilitados por outros meios. E esses métodos têm suas próprias falhas.
Experiência de usuário
“Estou realmente farto de todas as coisas convenientes da vida que de repente se tornam muito complicadas de usar”, diz um comentário postado em 2005. SlashDot artigo sobre o aumento iminente da autenticação de dois fatores em relação ao banco online. “Eu realmente odiaria ter um token difícil de carregar.”
“Os políticos não têm ideia do impacto que isto tem no mundo real”, concordou um segundo, lamentando a ameaça de os utilizadores serem forçados a comprar hardware extra. “Se você não entende os princípios básicos de segurança de computadores, não deveria ter permissão para fazer transações bancárias na Internet”, acrescentou outro comentarista.
Hoje, reclamações como essas parecem positivamente tolas, mas em 2005 os usuários estavam mais preocupados com o custo e o incômodo de carregar algum tipo de token de dois fatores. A resposta do usuário pode ser ainda mais negativa quando algo menos importante que o setor bancário é protegido. Em 2012, uma ação coletiva foi movida contra a desenvolvedora de jogos Blizzard Entertainment depois que a empresa introduziu um periférico autenticador projetado para defender as contas Battle.net dos usuários, de acordo com um relatório do BBC.
Última passagem
Esforços para implementar esse tipo de autenticação de dois fatores estavam em vigor desde a década de 1980, quando a Security Dynamics Technologies patenteou um “método e aparelho para identificar positivamente um indivíduo”. Na década de 2000, a infraestrutura e a capacidade de produção eram em vigor para organizações que vão desde instituições financeiras a editores de videogames para aplicar seus próprios meios de dois fatores autenticação.
Infelizmente, os usuários decidiram não cooperar. Quer o segundo fator de autenticação seja tão simples como uma tela LCD que fornece um código único, ou tão complexo como um leitor de impressão digital, a ideia de ter ainda outra peça de hardware físico – e potencialmente uma para cada serviço diferente que exigisse um login exclusivo – não era atraente para o massas.
É possível imaginar uma história alternativa onde os dois fatores nunca se popularizaram por causa desse problema. Felizmente para nós, a Apple apresentou o iPhone e o Google apresentou Android. Os smartphones colocaram um dispositivo capaz de autenticação de dois fatores nas mãos de bilhões de pessoas em todo o mundo, resolvendo o problema de conveniência que os usuários reclamaram em 2005.
Os smartphones são convenientes, mas apresentam seus próprios riscos
A natureza onipresente dos smartphones permitiu que sites e serviços eliminassem o incômodo do processo de autenticação de dois fatores. “Aqueles que usam seu celular tendem a ser muito fáceis de usar e de impacto muito baixo”, disse o especialista em segurança e pesquisador de Harvard, Bruce Schneier, falando à Digital Trends no início deste mês. “Porque é algo que você já tem. Não é algo novo que você tenha que carregar com você.”
É possível imaginar uma história alternativa onde os dois fatores nunca se popularizaram.
Em certos cenários, esta abordagem pode oferecer benefícios definitivos. Por exemplo, se você estiver fazendo login em um serviço a partir de um novo computador, poderá ser solicitado que você insira um código enviado a um dispositivo confiável, bem como sua senha padrão. Este é um bom exemplo de como usar a autenticação de dois fatores; outra pessoa pode ter roubado sua senha e tentado fazer login na conta associada a partir do sistema dela – mas, a menos que já tenha roubado seu telefone, não conseguirá obter acesso.
No entanto, existem ameaças que este tipo de proteção simplesmente não consegue controlar. Em 2005, Schneier escreveu que “a autenticação de dois fatores não é o nosso salvador” numa postagem no blog investigando suas fraquezas.
Ele continuou descrevendo como um ataque man-in-the-middle poderia enganar o usuário fazendo-o pensar que ele está em um site legítimo e convencê-los a oferecer ambas as formas de autenticação para um login falso tela. Ele também observa que um Trojan poderia ser usado para aproveitar um login legítimo realizado usando duas formas de autenticação. Há também o problema de centralizar a segurança em um único dispositivo; a maioria das pessoas usa dois fatores habilitados para smartphone para vários sites. Se esse telefone for roubado e comprometido, todos esses sites estarão em risco.
Conhecimento é poder
“Quando você faz login em sua conta, dois fatores são ótimos”, disse Schneier. “Minha universidade, Harvard, usa, minha empresa usa. Muitas pessoas o adotaram e é muito útil. Mas o que eu estava escrevendo naquela época, o problema é que isso era visto como uma panacéia, vai resolver tudo. Claro, sabemos que não.”
O ganho financeiro sempre motivará hackers mal-intencionados a cultivar novas técnicas para acessar contas de outras pessoas. Enquanto houver um benefício em possuir as credenciais de outra pessoa, veremos o hacking evoluir continuamente.
“Existem muitas ameaças diferentes e muitos mecanismos de segurança diferentes”, explicou Schneier. “Não existe apenas uma ameaça, não existe apenas um mecanismo, existem muitas ameaças e muitos mecanismos.”
A melhor defesa é um fluxo contínuo de contramedidas novas e melhoradas. Se continuarmos a alterar e atualizar os métodos que usamos para manter nossas contas seguras, dificultaremos as coisas para qualquer pessoa que tente obter acesso sem permissão.
Infelizmente, os atacantes têm a iniciativa. Demorou anos para que a autenticação de dois fatores fosse aceita pelas massas. À medida que novas formas de proteção se tornam disponíveis, nós, como utilizadores, precisamos de nos comprometer a tirar partido delas. E isso nos leva de volta aos fóruns do Slashdot, por volta de 2005. Todos nós voltamos a ser usuários reclamando de conveniência, em vez de nos preocuparmos com segurança.
É difícil ignorar o quão comuns os hacks em grande escala se tornaram, e não há sinais de que esta forma de criminalidade vá desaparecer. Não existe defesa 100% capaz de bloquear qualquer tipo de ataque; os criminosos sempre encontrarão uma maneira de explorar até mesmo a menor fraqueza. Embora não seja fácil, a melhor maneira de se manter seguro online é estar ciente das ameaças e do que pode ser feito para se proteger contra essas ameaças.
Segurança online é como pagar um seguro ou ir ao dentista. Não parece tão importante, até que seja. Não basta simplesmente aderir às formas de proteção que nos são oferecidas por vários sites e serviços. Saber de que tipo de ataques essas proteções nos defendem – e quais não o fazem – é a única maneira de assumir o controle de sua própria segurança.
Recomendações dos Editores
- A autenticação de dois fatores por SMS do Twitter está apresentando problemas. Veja como mudar de método
- Veja por que as pessoas dizem que a autenticação de dois fatores não é perfeita
- Hackers encontram uma maneira de contornar a autenticação de dois fatores do Gmail
