As senhas são uma medida de segurança fraca. Podem ser roubadas com muita facilidade e são muito fáceis de adivinhar. A solução? Usar mais de um código.
O que muitas páginas fazem é a chamada verificação em duas etapas (ou de dois fatores) que, além de pedir a senha, solicita um código adicional através do telefone.
Vou explicar da forma mais simples possível, o que é a verificação em duas etapas, como ativá-la em seus aplicativos online favoritos e o que você tem que considerar para que seja eficaz.
O que é a verificação em duas etapas (2FA)?
Quando você usa seu cartão de crédito para sacar dinheiro de um caixa eletrônico, você está usando sem saber a verificação em duas etapas: você deve inserir o cartão (objeto físico, algo que você tem) e, depois, digitar um PIN (algo que você sabe).
A verificação em duas etapas é exatamente isso: usar duas formas de identificação em vez de uma. Assim, em vez de usar apenas uma senha, com a verificação em dois passos você deve usar uma senha mais um código que vem no seu telefone.
Duas etapas: primeiro uma senha, depois o código do celular (fonte)
Existem muitos tipos de verificação da identidade que podem ser combinados juntos em um processo de duas etapas: senhas, impressões digitais, reconhecimento facial, desenho de um padrão, códigos PIN, localização geográfica, etc.
Como funciona a verificação em duas etapas?
O primeiro passo é sempre o mesmo: digitar o seu nome de usuário e senha, assim como você faria no método normal.
A novidade é a presença da segunda etapa, na qual você deve digitar um código recebido pelo celular.
Depois de introduzir o código, o PC, tablet ou celular que você costuma usar estiver conectado, este será identificado como um dispositivo confiável, e você pode se logar sem usar combinações adicionais.
E se eu perder o celular ou não houver sinal?
Se perder o seu telefone, pode ser um grande problema, uma vez que os códigos numéricos estarão salvos lá. Mas você ainda pode…
- acessar a sua conta em um computador confiável
- usar códigos de reserva impressos com antecedência
Se você não pode fazer nenhuma dessas coisas, então só resta solicitar um novo celular com o mesmo número ou pedir ao site para recuperar a sua conta, um processo que normalmente levam dias.
Se você estiver viajando para fora do país ou não tiver sinal e precisa fazer o login usando a verificação em duas etapas, pode usar aplicativos que produzem códigos offline ou usar os códigos impressos de antemão.
Se você tem um celular, eu recomendo usar o Google Authenticator (Android, iOS) ou Authenticator (Windows Phone), apps que produzem códigos sem conexão para que você possa usá-los quando estiver longe de casa.
Por que duas etapas e não três?
Por razões de ordem prática. Nada impede que você use mais de um sistema de verificação, mas se o uso de dois pode chegar a ser desconfortável, imagine usar três ou mais. O uso combinado de uma senha e um número aleatório gerado e enviado para o seu telefone serve para reduzir significativamente o risco de acesso não autorizado às suas contas.
Quais páginas usam a verificação em duas etapas?
São cada vez mais as páginas que usam a verificação em duas etapas. A última a aderir foi a Microsoft, depois de Google, Dropbox, Twitter e outros sites e aplicativos. Por que eles fizeram a implementação agora? Principalmente por três razões:
- um sempre maior número de serviços que tendem a aglutinar-se em uma conta
- cada vez mais usuários têm vários dispositivos que acessam a Internet
- um sempre maior número de ataques massivos de hackers, como aquele que sofreu o Twitter
Por que a verificação em duas etapas é opcional?
A verificação em duas etapas é opcional especialmente por razões de privacidade. Muitos usuários não querem associar o seu número de telefone. Para evitar esse obstáculo, em alguns casos é fornecido um gerados de chaves físicas, como o Autenticator de Battle.net, um chaveiro que gera códigos, a pedido do proprietário.
Como se ativa a verificação em duas etapas?
Depende do serviço. Na maioria dos casos, você pode simplesmente acessar o seu perfil, ir na seção Conta ou Segurança e selecionar a opção de lá. Para sua conveniência, eu compilei os links para as instruções oficiais de cada página:
A verificação em duas etapas é infalível?
Nem sempre. Por exemplo, pode ser o caso em que o telefone associado à sua conta esteja controlado por um hacker e que também sabe sua senha. Também pode acontecer que alguém conheça a sua senha e possa acessar um dispositivo confiável no qual não precisa digitar os códigos de segurança.
Os vírus trojan e o phishing são outro perigo. Se um hacker consegue imitar um dispositívo legítimo ou interceptar seus dados, você está tão exposto quanto antes. Alguns trojans também se coordenam com os outros: um trojan no seu PC pode modificar as solicitações feitas em um website e um trojan no celular pode ficar com os códigos de segurança.
Para minimizar estes riscos a solução é adicionar camadas adicionais de proteção para os seus dispositivos, tais como antivírus e sistemas de bloqueio eficazes. Embora a verificação em duas etapas seja muito eficaz para minimizar o risco de intrusão em suas contas, os bandidos não são estúpidos, e tentarão usar outras técnicas para roubar seus dados.
E você, já está usando a verificação em duas etapas?
[Artigo original de 19 de abril de 2013, atualizado em 03 de setembro de 2014]
