Mais de 90% dos usuários do Gmail não usam autenticação de dois fatores
Pense nisso assim. Digamos que você queira colocar uma fechadura na porta da frente para proteger sua casa. Os profissionais de segurança estão argumentando que o melhor tipo de bloqueio disponível é muito melhor do que os bloqueios mais baratos. Claro, faz sentido. Mas se esse bloqueio mais caro não estiver disponível para você, ainda não será melhor ter um bloqueio mais barato do que não ter um bloqueio?
Sim, a autenticação de dois fatores baseada em aplicativo é melhor que a autenticação baseada em SMS. Mas, se o SMS é tudo que um serviço oferece, ainda é melhor do que não usá-lo.
O fator dois baseado em SMS tem alguns pontos fracos, mas isso não faz sentido. Um invasor terá que perder tempo ignorando sua verificação por SMS. E a maioria dos alvos provavelmente não vale muito esforço.
Por que você precisa de autenticação de dois fatores?
A autenticação de dois fatores recebe esse nome porque exige que você tenha duas coisas para acessar sua conta: algo que você sabe (sua senha) e algo que você tem (um código de segurança adicional do seu dispositivo móvel ou um token físico).
Quando você habilita a autenticação de dois fatores baseada em SMS, o serviço enviará ao seu número de celular uma mensagem de texto contendo um código único sempre que você fizer login em um novo dispositivo. Assim, mesmo que alguém tenha seu nome de usuário e senha para essa conta, eles não poderão fazer login na sua conta sem acessar suas mensagens de texto.
Existem também outros tipos de métodos de dois fatores, incluindo aplicativos em seu telefone que geram códigos de segurança temporários e chaves de segurança física que você precisa conectar ao seu computador.
Qualquer tipo de autenticação de dois fatores fornece uma enorme quantidade de proteção para contas importantes, como seu email, mídia social e contas bancárias. Isso é especialmente verdadeiro se você reutilizar senhas. Muitas pessoas reutilizam senhas em vários sites e, quando o banco de dados de senhas de um site vaza, essa senha pode ser usada para fazer login em suas contas de e-mail. A autenticação de dois fatores pararia isso bem em suas trilhas.
Isso não significa que você deve reutilizar senhas. Você não deve reutilizar senhas. Você deve usar um bom gerenciador de senhas para manter o controle de senhas fortes e exclusivas.
Por que as pessoas dizem que a autenticação por SMS é ruim?
- Um invasor pode se passar por você e mover seu número de telefone para um novo telefone em um esquema de portabilidade de número de telefone. Este é o ataque mais provável.
- Um invasor pode interceptar mensagens SMS destinadas a você. Por exemplo, eles poderiam enganar uma torre de celular perto de você, ou um governo poderia usar seu acesso à rede celular para encaminhar mensagens.
É por isso que os especialistas recomendam o uso de outro método de dois fatores, um que não pode ser facilmente abusado pelos países e não é vulnerável se a operadora de celular fornecer seu número de telefone para outra pessoa. Se você receber seu código de um aplicativo em seu telefone ou uma chave de segurança física que você conectou, seu fator não é vulnerável a problemas com a rede telefônica. O invasor precisaria do seu telefone desbloqueado ou da chave de segurança física para você fazer login.
Claro, em um mundo perfeito, o SMS não é a solução ideal. Explicamos por que os especialistas em segurança não gostam da autenticação em duas etapas baseada em SMS. Mas, mesmo quando projetamos esse caso, tentamos esclarecer uma coisa: a autenticação de dois fatores baseada em SMS é muito, muito melhor que nada.
Algumas pessoas precisam de mais segurança do que o SMS
A pessoa comum está bem com a autenticação baseada em SMS por enquanto. A autenticação baseada em SMS faz com que os invasores passem por muitos problemas extras para acessar sua conta, e você provavelmente não vale a pena se houver outras metas mais fáceis e interessantes por aí. A maioria das pessoas nem usa a autenticação por SMS, e a Web seria um lugar muito mais seguro se todos o fizessem.
As pessoas que provavelmente serão alvo de invasores sofisticados devem evitar a autenticação baseada em SMS. Por exemplo, se você é um político, jornalista, celebridade ou líder de negócios, pode ser segmentado. Se você é uma pessoa com acesso a dados corporativos confidenciais, um administrador do sistema com acesso profundo a sistemas confidenciais ou apenas alguém com muito dinheiro no banco, o SMS pode ser muito arriscado.
Mas, se você é uma pessoa comum com uma conta do Gmail ou do Facebook e ninguém tem um motivo para gastar muito tempo acessando suas contas, a autenticação por SMS é adequada e você deve habilitá-la ao invés de usar absolutamente nada.
Você é tão seguro quanto o link mais fraco
Em outras palavras, muitos serviços, provavelmente, a maioria, permitem que você entre na sua conta com seu número de telefone, mesmo que você use um código gerado por aplicativo ou uma chave de segurança física na maioria das vezes. Você é tão seguro quanto o elo mais fraco do sistema. Tente verificar as outras maneiras de fazer login se você não tiver seu método normal.
Por isso, para realmente bloquear uma conta do Google, você não precisa apenas evitar a autenticação em duas etapas baseada em SMS. Você também precisa se inscrever no Programa de Proteção Avançada do Google, anunciado pelo Google para "jornalistas, ativistas, líderes empresariais e equipes de campanha política". Esse programa gratuito exige que você use uma chave de segurança física para fazer login, mas também exige muito mais informações para recuperar sua conta.
Por favor, use o SMS se você não estiver usando 2FA agora
Não queremos levá-lo a uma falsa sensação de segurança: se alguém for alvo de governos estrangeiros, espiões corporativos ou criminosos organizados, você deve evitar a autenticação de dois fatores baseada em SMS e bloquear sua contas com algo mais seguro.
Mas, se você é uma pessoa comum que ainda não ativou a autenticação de dois fatores, não se deixe enganar: dois fatores baseados em SMS tornarão você muito mais seguro do que nenhum fator duplo. É uma linha de base importante para segurança.
Todos devem usar a verificação por SMS, a menos que estejam usando algo melhor.
