Autenticação em Dois Fatores

A autenticação em dois fatores surgiu como uma das principais ferramentas de segurança cibernética das últimas décadas. Engana-se quem pensa que é algo recente, o que aconteceu apenas foi a inclusão de verificação em duas etapas em uma maior diversidade de sites e aplicativos que antes contavam apenas com uma etapa, normalmente login e senha apenas, como também serviços de autenticação que reúnem diversos serviços utilizando o mesmo autenticador. O objetivo desta matéria, portanto, é destrinchar de forma simples a segurança digital e os motivos pelos quais apenas uma etapa de verificação não é suficiente para se manter seguro no meio digital.

O que é?

Quando criamos uma conta em algum tipo de serviço digital normalmente cadastramos pelo menos um tipo de autenticação, que seria login e senha. A autenticação em dois fatores, portanto, adiciona uma camada a mais de proteção a fim de verificar a identidade do dono daquela conta, a forma da autenticação pode variar de serviço para serviço, por vezes, o mesmo serviço oferece mais de uma forma de autenticação.

Exemplos mais comuns:

A autenticação em dois fatores pode ser praticamente qualquer coisa, o cartão de crédito é um exemplo clássico que já existia antes mesmo dos smartphones, para realizar operações ou sacar dinheiro em um caixa eletrônico o cliente precisa tanto do cartão, quanto da senha dele, a depender do banco pode ser requisitada a digital ou reconhecimento facial, todos esses mecanismos de segurança são métodos de autenticação, funcionando como uma camada a mais de segurança.

Dessa forma, os métodos de autenticação de serviços online não fogem muito disso, sendo os mais comuns:

• Código de confirmação: É enviado um código para o cliente, o qual expira após um certo tempo limite, esse código pode ser enviado de diferentes formas, como SMS e email;
• Notificações push: Nesse método é enviada uma notificação para o próprio usuário, normalmente em um dispositivo que já possua aquela conta logada, em que o usuário precisa apenas apertar um botão para liberar o acesso caso seja ele mesmo tentando fazer login em um dispositivo diferente, caso não seja já fica o alerta de que alguém provavelmente está tentando hackea-lo, possibilitando que mude a senha a tempo de evitar mais ataques;
• TOTP: A senha de uso único baseada em tempo consiste basicamente em um código gerado por um algoritmo por um aplicativo de autenticação, a diferença dele para códigos enviados por SMS ou email é que esse código muda constantemente em intervalos de tempo curtos, geralmente 30 ou 60 segundos, o código é gerado sincronizando a hora do servidor com a do seu celular. Aplicativos como Google Authenticator, Authy e Last Pass Authenticator são exemplos de serviços autenticadores que utilizam a tecnologia TOTP para verificar a conta do usuário. É importante ressaltar que para esses aplicativos funcionarem primeiro é necessário realizar uma configuração inicial do serviço que você deseja ativar a autenticação em dois fatores, sendo necessário que esse serviço tenha suporte a isso, informação que normalmente pode ser encontrada nas configurações do aplicativo ou site;
• Biometria: Com o avanço da tecnologia dos celulares, a maioria dos smartphones hoje são capazes de realizar leituras biométricas, tanto de digital, quanto de reconhecimento facial, sendo um método bastante utilizado, muitas vezes de forma automática no primeiro login, por aplicativos de banco, como Nubank e o Banco do Brasil, que realizam tanto o reconhecimento facial para associar à sua conta em sua criação, como também uso da digital sempre que o usuário vai entrar no aplicativo, caso o cliente necessite logar no aplicativo em outro dispositivo ou troque de celular, será necessário realizar novamente todas as etapas de autenticação, contando com o reconhecimento facial e a senha do aplicativo já se torna uma autenticação de 3 fatores, o que ressalta o cuidado dos bancos com a segurança digital de seus clientes.

Problemas de segurança

Muitas pessoas acabam ignorando a ativação da autenticação em duas etapas por achar confuso ou trabalhoso, pois não entendem sua real importância. Uma prática muito comum no meio digital é o uso de senhas fracas, e as vezes pior, o usuário utiliza a mesma senha fraca em vários serviços diferentes. O perigo disso não está em uma pessoa má intencionada roubar sua conta de um aplicativo simples que não contenha dados relevantes, como um jogo de celular, mas no fato de que, como a mesma senha é usada em outros serviços mais importantes, como redes sociais e aplicativos de banco, os hackers costumam testar a mesma senha em outros serviços a fim de descobrir algum aplicativo que possa fornecer informações mais relevantes para ele. A autenticação de dois fatores não é infalível, mas funciona como um método de proteção a mais, que normalmente vai travar o acesso do hacker à sua conta, mesmo que ele consiga quebrar a senha, vai precisar de acesso a outra forma de autenticação que pode contar com um acesso mais específico, dificultando a interceptação desse criminoso.

É importante ressaltar que, apesar da autenticação em 2 fatores possuir boa eficácia e evitar roubos de conta, ela não exclui a necessidade de senhas fortes (maior número de caracteres, uso de letras maiúsculas e símbolos), além do uso de senhas diferentes para cada tipo de conta. Muitas pessoas acabam utilizando senhas simples e repetindo essa mesma senha em várias contas por ser mais fácil de lembrar, entretanto, existem ferramentas que auxiliam no gerenciamento de suas senhas de forma segura, no entanto, esse assunto será abordado com mais detalhes em outra matéria sobre senhas seguras.