Recurso de segurança é ‘essencial’, mas usuários e empresas devem adotar mecanismos que não dependam da rede de telefonia. Saiba como usar os apps autenticadores.xr
O diretor de segurança de identidades da Microsoft, Alex Weinert, publicou um artigo recomendado a utilização de aplicativos autenticadores (que geram senhas temporárias) em vez de outros mecanismos de verificação em duas etapas, como SMS e chamadas de voz.
A verificação em duas etapas ou autenticação multifatorial (MFA ou 2FA, nas siglas em inglês) é um recurso de segurança em que o acesso a um serviço é protegido por mais de um elemento.
Normalmente, é utilizada uma senha e um código temporário, mas a tecnologia também pode empregar a biometria, cartões inteligentes e chaves USB.
Para o especialista da Microsoft, esse recurso de segurança é “essencial” e corta drasticamente o número de acessos não autorizados. Segundo ele, as invasões em contas com autenticação multifatorial correspondem a 0,1% do total de contas comprometidas.
Mas Weinert adverte que, se esse código temporário for recebido por SMS ou chamada de voz – como acontece em muitos serviços –, o usuário correrá mais perigo do que com outros mecanismos de autenticação secundária, inclusive quando o código é gerado por um app no celular.
Em um ataque hipotético, ambas as senhas (geradas no aparelho ou recebidas pela rede) podem ser obtidas por um criminoso que roubar o aparelho ou contaminá-lo com um software espião.
Contudo, apenas os códigos recebidos pela rede poderão ser interceptados por falhas de segurança na rede ou nos serviços das operadoras.
Em outras palavras, um invasor tem mais possibilidades para acessar esse código quando ele é transmitido pela rede.
Por essa razão, usuários devem preferir usar outros mecanismos quando eles estiverem disponíveis, e os prestadoras de serviço – que são o principal público do artigo – devem permitir o uso de outras modalidades de autenticação.
Weinert não recomenda desativar o recurso em nenhuma hipótese.
Como usar os apps autenticadores
Um aplicativo autenticador é usado para ler um código QR no momento da configuração da autenticação em dois fatores.
A partir desse código, o app gera senhas numéricas com base no horário configurado no telefone, atualizando essa senha periodicamente, da mesma forma que os “tokens” bancários. Por essa razão, é essencial que a data e a hora configurada no smartphone estejam corretas.
Para usar o app, você precisa visitar a página de configuração de cada serviço compatível (Google, Facebook, Outlook, Dropbox, entre outros) e procurar pela opção de gerar senha por código QR ou gerar senha em aplicativo no celular.
Como a senha é gerada no aplicativo, não é necessário aguardar o recebimento de códigos por SMS. Ao realizar o login, basta digitar a senha e o código gerado no app em seguida.
É preciso, no entanto, ter alguns cuidados.
O recebimento de códigos por SMS exige que você tenha mantenha o seu cadastro atualizado nos serviços para evitar que a senha seja enviada para outra pessoa que venha a adquirir uma linha que você abandonou.
Os aplicativos autenticadores não sofrem com esse problema, já que as senhas ficam atreladas ao seu aparelho e não ao seu número, mas não será possível acessar a conta se você perder a configuração do aplicativo autenticador.
Esse é um problema que não existe quando o código é recebido por SMS, já que basta ter acesso à linha para receber o torpedo.
Esses códigos fixos poderão ser usados para reconfigurar a autenticação em duas etapas caso não seja possível gerar o código no aparelho (perda, roubo, defeitos, restauração de sistema etc.).
O aplicativo de autenticação da Microsoft possui uma função de backup para essas situações, se você ativá-lo.
O do Google, por sua vez, permite que você exporte as chaves para um novo aparelho – isso facilita a reconfiguração, mas não permite recuperar uma configuração perdida.
Se o seu aparelho apresentar um defeito repentinamente e você usa o Autenticador do Google, você precisará dos códigos impressos.
Baixe os apps autenticadores
Importante: os aplicativos funcionam usando um padrão de geração de senhas. Portanto, você pode usar o autenticador do Google para os serviços da Microsoft ou vice-versa, além de usar o mesmo app para todos os demais serviços compatíveis, como Facebook, Discord, Twitter e outros.
Segurança violada
Weinert não cita nenhum caso específico em seu artigo, mas vários incidentes e violações já foram possibilitadas pela interceptação de códigos enviados por chamadas ou SMS. Confira três exemplos:
O envio de códigos de autenticação por chamadas de voz, aliado à falta de segurança nas caixas postais das operadoras de telefonia, permitiu a invasão das contas de Telegram de diversas autoridades em 2019.
A rede social Reddit foi vítima de invasão após hackers burlarem a autenticação de SMS.
Nos Estados Unidos, diversos proprietários de criptomoedas tiveram suas carteiras esvaziadas após criminosos conseguirem a cooperação de funcionários das operadoras para redirecionar as mensagens e obter os códigos de autorização. Em ao menos um caso, um investidor moveu uma ação contra a operadora.
Fonte: G1