Segurança

Por Raquel Freire, para o TechTudo


A autenticação de dois fatores é uma camada extra de proteção que pode ser ativada em contas online. Também conhecido pela sigla 2FA, originária do inglês "two-factor authentication", o recurso insere uma segunda verificação de identidade do usuário no momento do login, evitando o acesso às contas mesmo quando a senha é vazada.

A funcionalidade está presente nos principais sites e aplicativos atuais, como Google, Facebook, Instagram, Amazon, Dropbox, PayPal e Mercado Livre. Cada plataforma oferece diferentes métodos de verificação, que podem compreender códigos SMS, dispositivos de token e biometria, por exemplo. Confira mais informações sobre a verificação em duas etapas, suas vantagens e como ativá-la para proteger seus dados pessoais na Internet.

Autenticação de dois fatores: entenda o que é e como usar o recurso que aumenta segurança — Foto: Divulgação/Norton

O que é autenticação de dois fatores?

A autenticação de dois fatores é uma camada extra de segurança na conta, que tem como objetivo confirmar a identidade do usuário. Ao ativar a verificação em duas etapas, o usuário precisa fornecer uma segunda informação após inserir login e senha, e só então terá acesso à conta.

O segundo fator pode variar, dependendo do serviço no qual você quer fazer login. É possível definir código de SMS, PIN, uma segunda senha, respostas a perguntas secretas, dispositivos físicos (como cartão de crédito ou drives USB de token) ou mesmo dados de biometria, como a digital ou leitor da íris.

Como funciona e para que serve?

A principal ideia por trás da autenticação de duas etapas é dificultar o acesso à conta. Mesmo que a senha seja hackeada ou o telefone roubado, dificilmente outro usuário conseguirá entrar nos seus perfis, porque ele não terá informações do segundo fator.

A forma mais comum de 2FA é o código de verificação enviado para o telefone. Depois que o usuário insere o login e a senha no site ou app, o serviço envia um SMS com uma sequência numérica, exibindo então um campo para inserção do autenticador. Após digitar o respectivo dado fornecido, o acesso à conta é concedido.

Para não cair em golpes, é importante nunca compartilhar o código recebido com terceiros. É comum que criminosos entrem em contato com vítimas alegando motivos falsos para solicitar um código enviado por SMS. Caso o usuário forneça os números, pode perder acesso a contas de serviços importantes, incluindo o WhatsApp.

A biometria, processo em que o código é substituído pela impressão digital, timbre de voz ou scanner da íris do olho, é o método mais sofisticado de proteger a conta com múltiplos fatores. Outra maneira de inserir de garantir uma camada extra é por meio de um token USB, como a Titan Key, do Google.

Esses dispositivos devem ser inseridos no PC ou celular, e geram um código único aleatório para ser usado ao fazer login em determinado serviço. O ponto negativo é que o device pode ser perdido, além de ser uma solução cara de ser implementada em larga escala.

Titan Key, dispositivo token USB do Google, é uma opção para realizar autenticação em duas etapas — Foto: Divulgação/Google

Aplicativos como Authy, Last Pass Authenticator e Google Authenticator desempenham papel parecido. O app exibe códigos aleatórios em constante atualização, e que devem ser inseridos nos sites que têm suporte ao recurso de autenticação de dois fatores.

Há ainda aplicativos que enviam uma notificação push para o celular, em vez de um código numérico. Neste caso, o usuário precisa tocar na tela para conceder ou negar o acesso à conta. O funcionamento é o mesmo das solicitações do Google, que funcionam em smartphones Android ou iPhone (iOS) com Smart Lock, Gmail ou o app do Google conectado à conta.

Aplicativos de autenticação habilitam verificação em duas etapas para serviços com suporte à funcionalidade — Foto: Marcela Franco/TechTudo

Motivos para ativar

As senhas são fatores de segurança fracos. Ainda que sejam necessárias, ter apenas um código de texto é insuficiente para proteger contas atualmente, considerando a sofisticação dos sistemas de roubo.

Pesquisando por dados roubados, a empresa de segurança 4iQ descobriu um único banco de dados com 1,4 bilhões de senhas de texto, nenhuma delas criptografada. E, sem surpresa, os pesquisadores notaram que a maioria consistia em sequências simples, como "123456", "111111", "qwerty" e "123123".

Naturalmente, os usuários empregam esse tipo de senha para não esquecerem as credenciais de login. Esse é o motivo para outro hábito perigoso: o de usar uma mesma senha para várias contas. Isso porque os softwares utilizados por hackers conseguem testar milhares de senha em poucos segundos. Se um mesmo nome de usuário e senha for repetido em vários serviços, os fraudadores encontram a porta aberta para diversas contas.

Lista de senhas vazadas revela sequências fáceis usadas por usuários — Foto: Reprodução/4iQ

O aumento de compras e acesso a outros serviços pela Internet, acelerados em virtude da pandemia de Covid-19, tornou a segurança online um território ainda mais sensível. Estudos realizados pela Febraban (Federação Brasileira de Bancos) mostraram aumento de 80% de golpes de phishing em 2020, tendência que segue em 2021.

Nos Estados Unidos, o mais recente relatório produzido pelo Aite Group mostra que, de 2019 a 2020, houve aumento de 42% nas perdas relacionadas à identidade. Nesses dois anos, 47% dos entrevistados foram vítima de roubo de identidade, 37% sofreram fraude de aplicação (quando a identidade de alguém é usada sem autorização para criar uma conta) e 38% passaram por roubo de conta (acesso não autorizado a uma conta existente).

Convertendo em dinheiro, essas fraudes significaram US$ 502,5 bilhões em 2019 e US$ 712,4 bilhões em 2020; para 2021, a projeção é que as perdas cheguem a US$ 721,3 bilhões. A pesquisa foi realizada com 8.653 consumidores americanos, com 18 anos ou mais. Também lá, a pandemia foi um fator importante para o salto nos golpes, que se aproveitaram das mudanças nos comportamentos bancários, sobretudo com a concessão de benefícios de desemprego — setor atraente para os fraudadores.

Como usar autenticação de dois fatores

A autenticação de dois fatores não está disponível para todos os sites ou serviços; é necessário que a plataforma ofereça esse recurso. Para as aplicações que contam com 2FA, o primeiro passo é acessar as configurações da conta e ativar a função. Geralmente a funcionalidade está na seção "Segurança".

No caso da conta Google, por exemplo, o usuário deve clicar em "Gerenciar sua conta Google" e entrar no link "Segurança", localizado na barra à esquerda. Na parte "Como fazer login", basta clicar em "Verificação em duas etapas" e, então, seguir os passos indicados pela plataforma.

O Google tem três métodos de autenticação de dois fatores: por notificação push; chave de segurança com token físico; e mensagem de texto ou voz. Já o Facebook permite escolher entre dispositivo físico, SMS e app de autenticação, além do gerador de códigos do próprio app.

Ativação da autenticação em duas etapas na conta Google — Foto: Reprodução/Raquel Freire

Alguns aplicativos, como o Instagram, contam com códigos de reserva que podem ser usados em caso de problemas com o código de autenticação padrão. Suponha a situação: você ativou a verificação em duas etapas por SMS e quer fazer login no app, mas está em uma área sem cobertura de celular. A mensagem de texto não irá chegar e, consequentemente, você não terá acesso à rede social.

Essa situação pode ser contornada com os códigos de reserva. Para obtê-los, entre no seu perfil do app, acesse o menu "Segurança" e clique em "Autenticação de dois fatores". Depois basta tocar em "Obter códigos reserva" e copiar as sequências para uso futuro. O aplicativo mostra uma lista de códigos, e cada um só pode ser usado uma vez. Salve-os em um local seguro e que não possa ser acessado por terceiros.

Códigos de reserva no Instagram podem ser usados em casos de problema com autenticação de duas etapas — Foto: Reprodução/Barbara Mannara

Veja também: 'piores senhas da Internet' usam nomes de personagens de séries

'Piores senhas da Internet' usam nomes de personagens de séries

'Piores senhas da Internet' usam nomes de personagens de séries

Mais do TechTudo