O que é exatamente a autenticação de dois fatores?
How-To Geek leitor Jordan escreve com uma pergunta direta:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
Para entender o que é a autenticação de dois fatores, primeiro vamos ver o que é uma autenticação de fator único e compará-la aos modelos de segurança reais e virtuais.
Quando você chega do trabalho, tira as chaves e abre a porta dos fundos, está se envolvendo em uma autenticação simples de um fator. A porta e a fechadura não se importam se a pessoa que segura a chave é você, seu vizinho ou um criminoso que levantou as chaves. A única coisa com que o bloqueio se preocupa é que a chave se encaixa (você não precisa de duas chaves, uma chave e uma impressão digital, ou qualquer outra combinação de cheques). A chave física é a única confirmação de que a pessoa que a empunha é autorizada a abrir a porta.
O mesmo nível de autenticação de um fator ocorre quando você faz login em um site ou serviço que simplesmente requer seu login e senha. Você conecta essa informação e ela existe como a única verificação que você é, na verdade, você.
Assumindo que ninguém rouba suas chaves ou rachas / rouba sua senha, você está em boa forma. Embora as chaves sejam roubadas, a segurança virtual é mais complexa (e, ao contrário das violações de segurança online. O gerente do complexo de apartamentos, por exemplo, nunca copia acidentalmente todas as chaves e as deixa com seu nome e endereço na esquina ).
Violações de segurança, ataques sofisticados e outros aspectos infelizes, mas muito reais, de trabalhar e jogar em um espaço virtual exigem práticas de segurança aprimoradas, incluindo senhas complexas e diversas e, quando disponíveis, autenticação de dois fatores.
O que é autenticação de dois fatores e qual a aparência para você, o usuário final? No mínimo, a autenticação de dois fatores requer duas das três variáveis de autenticação aprovadas pela regulamentação, como:
- Algo que você conhece (como o PIN no seu cartão bancário ou senha de e-mail).
- Algo que você tem (o cartão bancário físico ou um token autenticador).
- Algo que você é (biometria como sua impressão digital ou padrão de íris).
Se você já usou um cartão de débito, usou uma forma simples de autenticação de dois fatores: não é suficiente saber o PIN ou fisicamente ter o cartão. É necessário possuir ambos para acessar sua conta bancária por meio de a máquina ATM.
A autenticação de dois fatores pode assumir várias formas e ainda atender ao requisito 2-de-3. Pode haver um token físico, como aqueles amplamente usados no setor bancário, onde um código over-the-air é gerado para você. Para entrar você precisa do seu nome de usuário, senha e código único (que expirou a cada 30 segundos ou mais). Outras empresas ignoram a rota de hardware personalizado e fornecem aplicativos de telefone celular (ou códigos fornecidos por SMS) que fornecem a mesma funcionalidade. Embora não seja particularmente comum, você também pode usar a autenticação de dois fatores baseada em biometria (como segurança, um arquivo criptografado por meio de senha e impressão digital).
Por que devo usá-lo e onde posso encontrá-lo?
Sempre que a autenticação de dois fatores estiver disponível para um sistema e esse sistema estiver comprometido causaria um sofrimento significativo, você deverá ativá-lo. Com seu email comprometido, você se abre para outros serviços sendo comprometidos como servidores de email como uma espécie de chave mestra para acesso a redefinições de senhas e outras consultas. Se o seu banco fornecer um autenticador móvel ou outra ferramenta, aproveite-o. Mesmo para coisas como a sua conta Diablo III - os jogadores passam centenas de horas construindo seus personagens e frequentemente gastam dinheiro real comprando produtos dentro do jogo, perder todo esse trabalho e equipamento é uma proposta horrível, coloque um autenticador na sua conta!
Nem todo serviço oferece autenticação de dois fatores, infelizmente. A melhor maneira de descobrir é pesquisar os arquivos de FAQ / suporte e / ou entrar em contato com a equipe de suporte do serviço em questão. Dito isto, muitas empresas são vocais sobre a adoção de esquemas de autenticação de múltiplos fatores.
O Google tem autenticação de dois fatores, tanto para SMS quanto para um aplicativo móvel prático. Leia nosso guia sobre como instalar e configurar o aplicativo para dispositivos móveis aqui.
O LastPass oferece várias formas de autenticação multifator, incluindo o uso do Google Authenticator. Temos um guia para configurá-lo aqui.
O Facebook tem um sistema de dois fatores chamado “aprovações de login” que usa o SMS para confirmar sua identidade.
O SpiderOak, um serviço de armazenamento semelhante ao Dropbox, oferece autenticação de dois fatores.
A Blizzard, empresa por trás de jogos como World of War Craft e Diablo, tem um autenticador gratuito.
Mesmo que pareça, com base na leitura do arquivo de perguntas freqüentes da empresa em questão, eles não têm autenticação de dois fatores. Envie um e-mail para eles e pergunte. Quanto mais pessoas perguntarem sobre dois fatores, maior a chance de a empresa implementá-lo.
Embora a autenticação de dois fatores não seja invulnerável para atacar (um ataque man-in-the-middle sofisticado ou alguém roubando seu token de autenticação secundário e batendo em você com um pipe pode quebrá-lo), é radicalmente mais seguro do que depender de uma senha comum e simplesmente ter um sistema de dois fatores ativado faz de você um alvo muito menos atraente.
Sabe de um serviço, grande ou pequeno, que oferece autenticação de dois fatores? Som nos comentários para alertar seus colegas leitores.
