Dicas

Para uma segurança mais rigorosa você precisa do pendrive U2F

Jas Dhaliwal, 25 Fevereiro 2019

O Google confia neles, nós confiamos neles e esses são os motivos pelos quais você também pode confiar nas chaves de segurança YubiKey e Titan Key.

O Programa Proteção Avançada do Google foi apresentado em outubro de 2017 e ainda é uma das soluções de segurança mais robustas que se pode encontrar.

O programa exige não uma, mas DUAS chaves de segurança físicas, então você tem uma de reserva caso você perca a primeira. A chave física (pendrive) leva a autenticação de dois fatores (2FA) um patamar acima, pois exige um objeto físico exclusivo que cibercriminosos remotos não têm chance de replicar. O Google apresenta o programa como uma defesa particularmente forte contra o phishing.

Pesquisadores da empresa estudaram a eficácia de vários tipos de autenticação de 2 fatores e autenticação multifator antes de lançar o programa. Eles perceberam que uma melhor solução seria um segundo fator universal, ou U2F, um protocolo de segurança que usasse uma chave física. A autenticação de 2 fatores (2FA) padrão usa uma pergunta de segurança ou um código de texto único como segundo elemento de segurança, mas em seu Programa Proteção Avançada, o Google permite apenas chaves de segurança física como segundo fator.

“A pesquisa acadêmica produziu várias propostas para evitar senhas”, escreveram os pesquisadores do Google em um estudo de 2016 sobre chaves de segurança, iniciando o Programa Proteção Avançada. Para se inscrever no programa, os usuários são instruídos a comprar duas chaves de segurança. O Google oferece links para a Titan Security Key, vendido na loja do Google e uma página de resultados de pesquisa de outras chaves U2F aprovadas pela aliança FIDO, um grupo de padrões de autenticação do setor de tecnologia. De fato, orginalmente, o Google usou e endossou o YubiKey da Yubico.

Chaves de segurança são acessíveis, fáceis de usar e quase indestrutíveis. Elas não são maiores que um pendrive USB e servem apenas para uma função: fornecer credenciais de login exclusivas para sua conta. As chaves de segurança têm outros usos além da sua conta Google. Serviços online (como o Facebook e o Dropbox), gerenciadores de senhas (como o Authy) e sistemas operacionais (como Windows e macOS) também podem ser acessados com chaves U2F.

Assim que as chaves são conectadas às suas contas, não é possível fazer login sem uma delas. Você precisará delas além da senha da conta, assim como toda pessoa que quisesse invadir sua conta. Se uma das chaves for perdida, você tem outra de reserva. Mas se AMBAS as chaves forem perdidas, não há como contornar esse problema ou uma recuperação fácil. Existem procedimentos para recuperar a conta, mas isso levará dias. É uma boa segurança, que torna impossível alguém se passar por você para entrar em uma de suas contas. Nesses dias de grandes vazamentos de dados e ataques de phishing, uma boa segurança pode ser a diferença entre a felicidade e a tristeza profunda.


Este artigo é uma adaptação de How Yubikey could double-lock your online accounts, publicado originalmente pelo The Parallax.