Informagno | Gestão em TI

Como utilizar a autenticação multifator para proteger melhor os seus aplicativos

O que é autenticação multifator (MFA) (e por que você deveria se preocupar com isso)?

Em poucas palavras, a autenticação multifator (MFA) significa utilizar algo mais que a sua senha para entrar em uma conta. Há muitas formas de fazer isso. Algumas delas, como o envio de uma mensagem com um PIN de uso único para o seu smartphone, são menos seguras do que outras, como o uso da chave de segurança Titan do Google* (25 dólares) ou o aplicativo de smartphone Authy/Twilio* (grátis). A ideia é que se sua senha tiver sido comprometida por algum ataque, sua conta ainda continua segura, porque você conta com essa camada de proteção para acessar suas contas.

A autenticação multifator (MFA) é pouco conveniente e exige etapas adicionais para se conectar em uma conta? Normalmente sim. Entretanto, quando se compara essa inconveniência com as consequências de se ter a identidade e o dinheiro roubados devido a maus hábitos de higiene de segurança, fica claro o que está em jogo aqui.

Por exemplo, quanto o Twitter foi invadido há alguns meses, tudo leva a crer que um dos seus funcionários foi vítima de engenharia social. Os cibercriminosos conseguiram redefinir senhas de contas da plataforma por meio de suas ferramentas administrativas, independentemente de estarem ou não protegidas por MFA.

Depois de ouvir as notícias, lembrei que ainda tenho o SMS ativo nas minhas contas do Twitter* e do PayPal. É importante saber que o método que utiliza SMS é menos seguro do que outros. Assim, aqui vão algumas dicas de configuração de um tipo de MFA mais adequado nas suas contas.

Configurando o Twitter

Para o Twitter, vá para o menu Configurações e privacidade, clique em Segurança e acesso à conta, novamente em Segurança e, depois, em Autenticação em duas etapas. Escolha o método de proteção:


Mensagens de texto, como já disse, é o método menos seguro. Isso se deve ao fato dos cibercriminosos já terem descoberto diversas formas de neutralizar o PIN* transmitido. Mas se os outros métodos descritos intimidam você, então o SMS é melhor do que nada. Mas se der para implementar uma dessas outras formas, você ficará bem mais protegido.

Aplicativos de autenticação usam apps gratuitos no smartphone da Authy (Google, Microsoft e muitos outros fornecedores também oferecem um) que gera um PIN de uso único. Você ativa o aplicativo, olha para determinado site que deseja acessar e digita na página de acesso o PIN de seis dígitos exibido no smartphone. O PIN muda a cada 30 segundos. Assim, o único problema é certificar-se de não digitar um código entre o tempo em que ele foi visto e o tempo necessário para se conectar corretamente.

Obviamente quem não tem um smartphone não pode utilizar esse método. Caso contrário, esse é um processo relativamente simples. É solicitado ao usuário que insira sua senha do Twitter e depois escaneie um código QR com o smartphone. Isso sincroniza o aplicativo de autenticação com a conta do Twitter. Depois é só inserir o código PIN exibido no aplicativo de volta no seu computador, na tela de login, para verificar a conexão.

chave de segurança é um dispositivo separado que não exibe nenhum PIN, mas que conta com o PIN secreto integrado em um hardware. Após ativar o aplicativo de autenticação, você também pode selecionar essa opção. Ao invés de copiar o código PIN, é só pressionar um botão no dispositivo para transmitir a informação para a tela de login. É importante ter pelo menos duas chaves, caso você perca uma ou ela esteja em um local diferente (como dentro do seu carro ou em casa), porque sem ela você não pode acessar sua conta.

Configurando o Facebook

Se você estiver usando um navegador, clique no pequeno triângulo no canto superior direito da barra de navegação para entrar em sua conta. Depois clique em Configurações e privacidade, depois, Configurações e então em Segurança e login. Finalmente, clique no botão Editar da Autenticação de dois fatores. Depois de digitar sua senha, você deverá estar nesta página. Ali, você encontra algo semelhante às três escolhas do Twitter (aplicativo de autenticação, chave de segurança e mensagem de texto). Após escolher o método MFA, volte para a página de segurança principal e reveja as credenciais de acesso autorizadas em dispositivos específicos e confira se está tudo certo.

Configurando o Pinterest

De forma semelhante ao Facebook, clique no pequeno triângulo na barra superior para entra nas configurações da sua conta e, depois, escolha Segurança. Em Autenticação de dois fatores, clique na caixa para ativar a funcionalidade durante um login. Depois você terá que inserir o número do seu telefone, onde receberá os códigos PIN de uso único. Repare que é necessário ativar o método de texto MFA antes de ativar o uso do aplicativo Authy.

Depois de adicionar a MFA para esses aplicativos, talvez você queira saber o que mais é possível proteger dessa forma. O melhor lugar para descobrir quais aplicativos podem se beneficiar dessa proteção adicional é a página TwoFactor*, que se mantém atualizada sempre que possível. Por exemplo, recomendo que tudo o que envolva dinheiro, como o seu banco, empresa de seguro e investimentos, seja protegido com MFA. Infelizmente muitos desses sites oferecem apenas, quando muito, a MFA baseada em texto (SMS). 

Finalmente, configurando o Snapchat

Vá para a tela do seu perfil, clique no ícone da engrenagem para acessar as suas configurações, desça até a Autenticação de dois fatores. Você verá a tela onde pode ativar o aplicativo de autenticação. Caso já tenha instalado o aplicativo, escolha o método automático e copie o código PIN de volta no aplicativo.

Mais um conselho: se você estiver configurando a MFA na sua conta e tiver a opção de usar um navegador ou um aplicativo no seu smartphone, escolha o navegador. Assim fica bem mais fácil navegar pelas múltiplas telas do sistema.

Se isso fez com que você se tornasse mais cuidadoso (e até mais paranoico), talvez essa postagem seja do seu interesse*, já que aborda formas de fortalecer os diversos controles de privacidade disponíveis em iPhones e Android, como limitar os serviços de localização e permissões de aplicativos. Como pode ver, segurança é uma jornada com muitas etapas.