As diferentes formas de autenticação de dois fatores SMS, aplicativos Autheticator e muito mais
Muitos serviços online oferecem autenticação de dois fatores, o que aumenta a segurança exigindo mais do que apenas a senha para entrar. Há muitos tipos diferentes de métodos de autenticação adicionais que você pode usar.
Diferentes serviços oferecem diferentes métodos de autenticação de dois fatores e, em alguns casos, você pode até escolher entre algumas opções diferentes. Veja como eles funcionam e como eles diferem.
Verificação de SMS
Muitos serviços permitem que você se inscreva para receber uma mensagem SMS sempre que fizer login na sua conta. Essa mensagem SMS conterá um pequeno código de uso único que você terá que digitar. Com este sistema, seu celular é usado como o segundo método de autenticação. Alguém não pode simplesmente acessar sua conta se ela tiver sua senha. Ela precisa da sua senha e do acesso ao seu telefone ou às mensagens SMS..
Isso é conveniente, já que você não precisa fazer nada de especial, e a maioria das pessoas tem celulares. Alguns serviços até discarão um número de telefone e terão um sistema automatizado que fala um código, permitindo que você o use com um número de telefone fixo que não pode receber mensagens de texto..
No entanto, existem grandes problemas com a verificação por SMS. Os atacantes podem usar ataques de troca de SIM para obter acesso aos seus códigos de segurança ou interceptá-los, graças a falhas na rede celular. Recomendamos contra o uso de mensagens SMS, se possível. No entanto, as mensagens SMS ainda são muito mais seguras do que não usar nenhuma autenticação de dois fatores!
Códigos gerados por aplicativo (como o Google Authenticator e o Authy)
Você também pode ter seus códigos gerados por um aplicativo em seu telefone. O aplicativo mais conhecido que faz isso é o Google Authenticator, que o Google oferece para Android e iPhone. No entanto, preferimos o Authy, que faz tudo o que o Google Authenticator faz - e muito mais. Apesar do nome, esses aplicativos usam um padrão aberto. Por exemplo, é possível adicionar contas da Microsoft e muitos outros tipos de contas ao aplicativo Google Authenticator.
Instale o aplicativo, verifique o código ao configurar uma nova conta e esse aplicativo gerará novos códigos aproximadamente a cada 30 segundos. Você terá que digitar o código atual exibido no aplicativo em seu telefone, bem como a sua senha quando você entrar em uma conta.
Isso não requer um sinal de celular, e a "semente" que permite que o aplicativo gere esses códigos de tempo limitado é armazenada apenas no seu dispositivo. Isso significa que é muito mais seguro, pois mesmo alguém que tenha acesso ao seu número de telefone ou intercepte suas mensagens de texto não saberá quais são seus códigos.
Alguns serviços, por exemplo, o Autenticador Battle.net da Blizzard, também têm seus próprios aplicativos dedicados de geração de código..
Chaves de Autenticação Física
As chaves de autenticação física são outra opção que estão começando a se tornar mais populares. Grandes empresas dos setores de tecnologia e financeiro estão criando um padrão conhecido como U2F, e já é possível usar um token físico U2F para proteger suas contas do Google, do Dropbox e do GitHub. Esta é apenas uma pequena chave USB que você coloca no seu chaveiro. Sempre que você quiser entrar em sua conta a partir de um novo computador, você terá que inserir a chave USB e pressionar um botão. É isso, sem códigos de digitação. No futuro, esses dispositivos devem funcionar com NFC e Bluetooth para comunicação com dispositivos móveis sem portas USB.
Essa solução funciona melhor do que a verificação por SMS e os códigos de uso único, porque não podem ser interceptados e confundidos. Também é mais simples e mais conveniente de usar. Por exemplo, um site de phishing pode mostrar uma página de login do Google falsa e capturar seu código de uso único quando você tentar fazer login. Eles podem usar esse código para fazer login no Google. Mas, com uma chave de autenticação física que funciona de acordo com o seu navegador, o navegador pode garantir que está se comunicando com o site real e o código não pode ser capturado por um invasor.
Espere ver muito mais deles no futuro.
Autenticação Baseada em Aplicativo
Alguns aplicativos móveis podem fornecer autenticação de dois fatores usando o próprio aplicativo. Por exemplo, o Google agora oferece uma autenticação de dois fatores sem código, desde que você tenha o aplicativo do Google instalado em seu telefone. Sempre que você tentar fazer login no Google em outro computador ou dispositivo, basta tocar em um botão no telefone, sem necessidade de código. O Google está verificando para garantir que você tenha acesso ao seu telefone antes de tentar fazer login.
A verificação em duas etapas da Apple funciona de maneira semelhante, embora não use um aplicativo - ela usa o próprio sistema operacional iOS. Sempre que você tentar fazer login de um novo dispositivo, poderá receber um código de uso único enviado para um dispositivo registrado, como seu iPhone ou iPad. O aplicativo móvel do Twitter também tem um recurso semelhante chamado verificação de login. E o Google e a Microsoft adicionaram esse recurso aos aplicativos para smartphone Google e Microsoft Authenticator..
Sistemas baseados em email
Outros serviços dependem de sua conta de e-mail para autenticar você. Por exemplo, se você ativar o Steam Guard, o Steam solicitará que você insira um código de uso único enviado para o seu e-mail toda vez que fizer login em um novo computador. Isso garante pelo menos que um invasor precisará da senha da sua conta do Steam e do acesso à sua conta de e-mail para obter acesso a essa conta..
Isso não é tão seguro quanto os outros métodos de verificação em duas etapas, já que pode ser fácil para alguém obter acesso à sua conta de e-mail, especialmente se você não estiver usando a verificação em duas etapas. Evite a verificação baseada em email se você puder usar algo mais forte. (Felizmente, a Steam oferece autenticação baseada em aplicativos em seu aplicativo móvel.)
O último recurso: códigos de recuperação
Os códigos de recuperação fornecem uma rede de segurança no caso de você perder o método de autenticação de dois fatores. Quando você configura a autenticação de dois fatores, geralmente recebe códigos de recuperação que você deve anotar e armazenar em algum lugar seguro. Você precisará deles se perder o método de verificação em duas etapas.
Certifique-se de ter uma cópia dos seus códigos de recuperação em algum lugar, se você estiver usando a autenticação em duas etapas.
Você não encontrará muitas opções para cada uma das suas contas. No entanto, muitos serviços oferecem vários métodos de verificação em duas etapas que você pode escolher.
Há também a opção de usar vários métodos de autenticação de dois fatores. Por exemplo, se você configurar um aplicativo de geração de código e uma chave de segurança física, poderá obter acesso à sua conta por meio do aplicativo se perder a chave física.