Se você não sabe o que é ou tem medo de usar a autenticação por dois fatores, já passou da hora de resolver esses problemas
Sem dúvida, um programa de segurança de qualidade protege – e muito! – os seus dispositivos contra o roubo de senhas por keyloggers. Mas você precisa saber que o ponto mais fraco não é o seu computador ou navegador. Se você usa a mesma senha em vários sites e algum deles sofrer uma invasão ou vazamento, suas contas online podem ser invadidas: é como perder uma chave-mestra que abre todas as portas.
Por que a autenticação por dois fatores é importante?
Ao habilitar a autenticação por dois fatores (2FA, Two-Factor Authentication ou MFA, Multi-Factor Authentication), você está acrescentando uma segunda camada de proteção às suas contas online: somente com uma segunda informação – além da sua senha – é que será possível entrar em sua conta. Quase todas as redes sociais e serviços de e-mail permitem o uso dessa tecnologia. Trata-se de usar mais de um dado para confirmar a sua identidade, que pode ser um dos itens a seguir:
- Algo físico (objeto) que você possua: um pendrive especial Yubiko* ou Titan com um código secreto, um cartão, uma chave. Trata-se de algo que você não pode reproduzir (hardware) e, se não for perdido ou roubado, é o sistema mais seguro, ainda que seja caro para a maioria dos brasileiros
- Algo que um aplicativo gere e reproduza de forma exclusiva, como um código token (tecnicamente, TOTP ou Time-Based One Time Password) no seu próprio smartphone, que vamos abordar a seguir neste nosso guia
- Algo que você saiba, como outra senha, frase, uma sequência numérica (PIN), etc.
- Alguma das suas características físicas (biometria), como suas digitais, a íris do seu olho, sua voz, algum padrão de digitação, etc.
- Algum dado de onde você está, por exemplo, determinado computador ou através do sinal de GPS
Alguns sites só oferecem a autenticação por SMS, que é o método menos seguro, tanto pela interceptação dos SMS – que é feita através das vulnerabilidades no protocolo de transmissão – quanto pelo sequestro do chip ou ataque SIM-swap.
O que você precisa fazer
Como os Yubikeys* não estão acessíveis a todos, vamos abordar como habilitar a autenticação por dois fatores através de códigos token gerados por aplicativos gratuitos. O passo a passo varia conforme o site/serviço, mas, em linhas gerais*:
A. Instale o aplicativo autenticador das lojas oficiais, por exemplo, o Authy, o Myki ou o Bitwarden. Eles permitem a sincronização dos seus códigos entre vários dispositivos (inclusive o seu computador), evitando que você fique “trancado do lado de fora” das suas contas. Você também pode baixar outros aplicativos como o Google Authenticator ou o Microsoft Authenticator, mas esses só geram códigos em um único smartphone.
B. Ative a autenticação por dois fatores em suas contas:
- No seu computador, entre nas configurações de segurança e/ou privacidade da conta que você deseja ativar a autenticação por dois fatores (supomos que o computador não esteja infectado por malwares ou keyloggers: verifique antes)
- Inicie o processo de habilitação da autenticação de 2 fatores pelo aplicativo autenticador (escolha Google Authenticator se não houver outra opção) e faça aparecer na tela um código QR
- Abra o aplicativo autenticador no seu smartphone e adicione uma conta. Depois, clique em Escanear código QR e aponte a câmera para a tela do seu computador e leia o código QR
- No seu smartphone, o aplicativo autenticador irá mostrar um código de validação, digite esse código na página do site que você havia aberto no seu computador para confirmar a sua identidade ao site/serviço. Preencha outros detalhes: nome da conta, ícone, etc.
- Se em algum momento desse processo aparecerem códigos de backup ou de recuperação, imprima-os e guarde-os em um lugar seguro, pois eles podem ser necessários para reativar o acesso a sua conta caso você perca o seu smartphone
A partir de agora, sempre que entrar em um novo dispositivo você terá de informar seu nome de usuário, senha e um código gerado pelo aplicativo (cada um deles só é válido por cerca de 30 segundos).
O Authy, o Myki e o Bitwarden permitem que você sincronize os códigos entre mais de um smartphone ou mesmo no seu computador. Basta instalar o aplicativo no seu novo dispositivo e emparelhá-lo com algum dos outros já aprovados.
Também por razões de segurança, sugerimos que você bloqueie o acesso ao aplicativo autenticador com um PIN (4-6 números) de segurança. Procure a opção correspondente nas configurações.
Quais contas permitem a autenticação de 2 fatores
Geralmente, todos os serviços de e-mail, redes sociais, gerenciadores de senha, jogos populares, fóruns e sites de desenvolvedores, lojas de criptomoedas, aplicativos de acesso remoto, e muitos outros permitem usar essa melhoria de segurança, por exemplo:
Veja a lista completa dos sites* que oferecem a autenticação por dois fatores. Você também encontra um passo a passo para algumas contas aqui (Twitter, Facebook, Pinterest e Snapchat).
A autenticação multifator não resolve tudo
Com certeza você não usa uma senha fácil de adivinhar, nem a repete em vários sites. Provavelmente você usa já usa a autenticação multifator, mas saiba que até mesmo as chaves físicas dependem do computador e do navegador que você está usando para entrar em um site.
Malwares podem executar ataques MiTM (man-in-the-middle) e interferir nas suas comunicações. Navegadores especialmente projetados por especialistas de segurança oferecem um Modo Banco que adiciona uma camada de proteção especial. Por isso, você continua precisando de uma proteção antimalware robusta e criptografia em todo o seu tráfego online através de um aplicativo VPN.
Como tudo na vida, você precisa encontrar um equilíbrio entre segurança e conveniência. Para a maioria das pessoas, leva poucos minutos para configurar um aplicativo autenticador e pode poupar muita dor de cabeça se o site/serviço online que você usa for invadido e os seus dados e senhas tiverem vazado na internet. Mesmo assim, se isso aconteceu, saiba mais no nosso guia de sobrevivência ao vazamento de dados na internet.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Photo by Priscilla Du Preez on Unsplash