Uma comparação dos métodos de autenticação de dois fatores: Qual é o melhor para você?

Um homem digita um código em seu dispositivo de autenticação de dois fatores.


A autenticação de dois fatores torna impossível para os hackers invadir suas contas com força bruta e até protege você se os hackers obtiverem sua senha. Pode até ajudar a bloquear sua conta se suas credenciais tiverem sido falsificadas no passado.

Em resumo, a autenticação de dois fatores (2FA) é importante.

Mas qual modelo de autenticação de dois fatores você deve escolher? Quase todos os serviços oferecem senhas únicas via mensagem de texto entregue no seu telefone. Muitos também fornecem senhas únicas geradas no seu dispositivo móvel (usando o Google Authenticator, Authy ou mesmo o Facebook).

Alguns serviços oferecem a opção de conectar um dispositivo de hardware, e existem trocas entre as opções. Este blog explica quais são essas opções, o que você deve ter cuidado e o que é melhor para você.

Por que a autenticação de dois fatores é superior?

É difícil, se não impossível, perceber uma senha quebrada ou roubada. Uma senha roubada ou quebrada permite que um invasor acesse sua conta por qualquer período de tempo, despercebido ou o bloqueie completamente.

Da mesma forma, depender apenas de um dispositivo para efetuar login pode torná-lo vulnerável a hackers, se ele for roubado. Embora você percebesse mais rapidamente que foi comprometido.

Combinar algo que você sabe e algo que você tem juntos, no entanto, torna muito menos prejudicial se sua senha for quebrada ou se seu dispositivo for roubado. Se você perder o dispositivo, o ladrão ou o localizador não conseguirão acessar suas contas sem uma senha. E se sua senha estiver quebrada, ninguém poderá acessar sua conta sem o dispositivo.

Melhores métodos 2FA

Fatores a serem considerados ao escolher a autenticação de dois fatores

A teoria da autenticação da identidade geralmente define três fatores:

  • Algo que você sabe
  • Algo que você tem
  • Algo que você é

Geralmente, os usuários na internet são identificados por meio de algo que sabem. Isso geralmente é uma senha, mas também pode ser uma pergunta de segurança.

Os riscos de “algo que você sabe” são que você pode esquecer ou não é o único que sabe, por exemplo porque você voluntariamente ou involuntariamente compartilhou o conhecimento. Também pode ser possível que terceiros obtenham esse conhecimento por outros meios, talvez observando as mídias sociais para obter a resposta para perguntas comuns de segurança: “Qual é seu animal de estimação favorito?” Ou “Em que rua você cresceu?”

Um segundo fator é “algo que você tem”, que pode ser uma chave de segurança ou um cartão SIM. Geralmente, esse segundo fator é aplicado como uma redefinição de backup, caso você esqueça sua senha..

O terceiro fator é “algo que você é”. Essa pode ser sua impressão digital ou reconhecimento facial e de voz e raramente é usada fora de instalações militares.

Somente quando dois desses fatores, ou múltiplos fatores, é requerido ao mesmo tempo para autenticação falamos de autenticação de dois fatores ou de múltiplos fatores.

Métodos comuns de autenticação de dois fatores

1. mensagem de texto

segurança-privacidade-acesso-1

O que você tem: Um cartão SIM
A forma mais comum de autenticação de dois fatores é o telefone celular. Quase todo mundo tem um telefone celular e o mantém sempre, o que faz com que seja uma escolha popular e conveniente para provedores e usuários.

O que acontece quando você o perde: Se você estiver em um plano mensal, poderá bloquear seu SIM antigo e obter um novo do seu provedor. Existe o risco de perder o acesso à sua conta ao viajar se as mensagens de texto não puderem passar.

Riscos de segurança: Alguns provedores tornam extremamente trivial que outra pessoa obtenha um novo cartão SIM em seu nome, ou pior, clone seu cartão SIM. Muitos provedores também possibilitam que um invasor desvie mensagens de texto para outro número, basicamente ignorando sua proteção.

Os estados de nação podem ler ou desviar as mensagens de texto enviadas a você, possibilitando que elas ignorem sua segurança. Além disso, há o risco de ataques man-in-the-middle, se você inserir a mensagem de texto no serviço errado.

Riscos de privacidade: Os contratos necessariamente vinculam seu nome a todos os serviços nos quais você usou seu telefone para se inscrever. No entanto, os contratos telefônicos pré-pagos não substituirão um cartão SIM perdido. De qualquer forma, sua empresa de telefonia móvel pode rastrear onde você está e de quem você recebe os códigos..

2. Aplicativos autenticadores

segurança-privacidade-acesso-2

O que você tem: Seu telefone com um aplicativo instalado.
Quando você usa um aplicativo autenticador (por exemplo, Google Authenticator ou Authy), o serviço com o qual você configurou o 2FA comunicará um código secreto com você, geralmente na forma de um código QR. Digitalize esse código com o aplicativo autenticador e, a partir daí, seu aplicativo gerará códigos aleatórios que mudam a cada poucos segundos. Você precisará desse código sempre que fizer login em um serviço.

O que acontece quando você o perde: Alguns serviços facilitam o backup desse código; caso você exclua acidentalmente o aplicativo autenticador, perca ou quebre o telefone, basta configurá-lo novamente. Outros serviços o incentivam a salvar códigos de backup exclusivos que você pode usar no caso de perder o acesso ao seu aplicativo autenticador.

Obviamente, isso levanta a questão de onde salvar os códigos de backup. Geralmente, um pedaço de papel é a melhor opção, mas onde é um local seguro para armazená-lo?

Nota: Enquanto o telefone estiver ligado, o aplicativo gerará códigos para você. Seu telefone não precisa ter internet enquanto gera os códigos.

Riscos de segurança: Se alguém conseguir capturar a tela do código QR ou por outro meio de interceptar a chave secreta, poderá gerar os mesmos códigos no aplicativo autenticador. Como as mensagens de texto, existe o risco de ataques do tipo intermediário se você digitar sua senha no site errado..

Riscos de privacidade: Se o seu aplicativo autenticador exigir que você se inscreva com seu endereço de e-mail, isso pode ajudar um invasor a vincular contas. Em geral, um aplicativo autenticador tem poucos riscos de privacidade.

3. Chaves de hardware

segurança-privacidade-acesso-3

O que você tem: Uma chave de hardware compatível com o padrão FIDO U2F.
Essa chave, que geralmente se parece com um pequeno pendrive, contém um pequeno chip que armazena com segurança uma chave privada.

Depois de conectar e registrar o dispositivo em um serviço, a chave pública assinará as mensagens de maneira que o serviço possa verificá-las. Ao contrário de mensagens de texto ou aplicativos autenticadores, não há risco de ataques intermediários, porque a chave física do hardware é necessária para autenticar o serviço.

Ao contrário de mensagens de texto ou aplicativos autenticadores, as chaves de hardware não são gratuitas. Porém, como o padrão dominante da FIDO U2F é um padrão aberto, há muita concorrência entre vários produtores. Os produtos podem variar entre US $ 5 e US $ 120 com uma carteira Bitcoin de hardware incluída.

O que acontece quando você o perde: Se você puder pagar, uma segunda chave de hardware é uma boa ideia. Caso contrário, semelhante aos aplicativos autenticadores, você poderá fazer o download de códigos de backup que permitirão o acesso novamente à sua conta.

Riscos de segurança: As chaves de hardware se destacam tanto na segurança que, se implementadas corretamente, podem eliminar completamente os ataques de phishing. Por enquanto, a maioria dos serviços que oferecem registro de chave de hardware também exige um aplicativo autenticador ou número de telefone registrado. São esses elos fracos que provavelmente também se tornarão suas ameaças à segurança.

Riscos de privacidade: Compre o dispositivo em dinheiro ou Bitcoin por certo. Em geral, uma chave de hardware sem risco de privacidade, pois criará um novo par de chaves para cada conta.

As chaves de hardware são melhores para 2FA, mas nem todos as aceitarão

As chaves de hardware vencem da perspectiva da segurança, são privadas e não são afetadas por um telefone que está morrendo ou fora de alcance. No entanto, apenas alguns serviços (Google, Dropbox, Facebook, Github e alguns outros) suportam o padrão até o momento.

A menos que você confie no seu provedor de telefonia (e poucos sejam confiáveis), um aplicativo autenticador é a melhor opção.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map