Você deveria estar usando autenticação de dois fatores em cada conta que oferece a opção. Não há melhor maneira de manter sua conta segura e, não importa quem você seja, você deve querer que todas as suas contas estejam o mais seguras possível. Também não importa qual telefone você usa – 2FA funciona com um telefone Android barato, o melhor telefone Androidou um iPhone. Você já ouviu tudo isso antes.
Todos os métodos de dois fatores não são criados iguais. Como qualquer outra medida de segurança voltada para o usuário, você precisa trocar alguma conveniência por proteção e os métodos mais seguros de 2FA também são os menos convenientes. Por outro lado, os métodos mais convenientes também são os menos seguros.
Vamos dar uma olhada nas diferentes maneiras de usar a autenticação de dois fatores e discutir os prós e os contras de cada uma.
Evite a todo custo, embora ainda seja melhor do que nada
4. Autenticação de dois fatores baseada em SMS
Receber uma mensagem de texto com um código de dois fatores é a forma mais popular de proteger uma conta online. Infelizmente, também é a pior maneira.
2FA baseado em SMS é fácil e conveniente. Também não é muito seguro.
Você fornece seu número de telefone quando se inscreve em uma conta ou se voltar e ativar a 2FA posteriormente e, depois que o número for verificado, ele será usado para enviar um código a qualquer momento que você precisar autenticar que realmente é você. É super fácil e super conveniente, o que significa que muitas pessoas o usam e muitas empresas o oferecem como o único meio de proteger uma conta.
A facilidade de uso e a conveniência são ótimas, mas nada mais no SMS é bom. O SMS nunca foi projetado para ser um meio de comunicação seguro e, uma vez que é um padrão da indústria, até mesmo um aplicativo como o Signal que faz A oferta de mensagens criptografadas e seguras ainda envia mensagens SMS como texto simples. Nathan Collier, analista sênior de inteligência de malware da Malwarebytes, descreve SMS assim:
As mensagens de texto SMS, que são enviadas e armazenadas em servidores em texto simples, podem ser interceptadas durante o trânsito. Além disso, é possível que mensagens SMS sejam enviadas para o número errado. E quando as mensagens atingem o número correto, não há notificação do destinatário se a mensagem foi lida ou mesmo recebida.
Um problema maior é que as operadoras podem (e tem sido) enganados para autorizar um novo cartão SIM usando o número de telefone de outra pessoa. Se alguém realmente queria acessar sua conta bancária ou pedir um monte de coisas da Amazon usando seu cartão de crédito, tudo o que eles precisam fazer é convencer alguém de sua operadora de que é você, perdeu seu telefone e precisa mover seu número para um novo cartão SIM que eles estão segurando.
Tudo isso também se aplica à autenticação baseada em e-mail. O e-mail é realmente a única maneira pela qual qualquer processo de recuperação de conta pode funcionar, e muitos lugares, como o seu banco, vão querer enviar um código por e-mail para fazer login a partir de um novo dispositivo. Simplesmente não é muito seguro e todos na indústria sabem disso. Talvez consertar como o e-mail é usado como base para esse tipo de coisa seja o que vem a seguir.
Você provavelmente deveria usar este
3. Aplicativos autenticadores
Aplicativos de autenticação como o Google Authenticator ou Authy oferecem uma grande melhoria em relação ao 2FA baseado em SMS. Eles trabalham usando o que é chamado Senhas de uso único baseadas em tempo (TOTP) que um aplicativo em seu telefone pode gerar usando um algoritmo complexo sem qualquer tipo de conexão de rede. Um site ou serviço usa o mesmo algoritmo para garantir que o código esteja correto.
Os aplicativos do Authenticator são melhores do que o SMS para 2FA, mas não são à prova de falhas.
Uma vez que funcionam offline, o estilo TOTP 2FA não está sujeito aos mesmos problemas que o uso de SMS, mas tem seu próprio conjunto de falhas. Pesquisadores de segurança mostraram que é possível interceptar e manipular os dados que você está enviando ao entrar no TOTP em um site, mas não é fácil.
O verdadeiro problema vem do phishing. É possível construir um site de phishing que se pareça e atue exatamente como a coisa real e até mesmo passe adiante as credenciais que você fornece, como sua senha e o TOTP gerado por um aplicativo autenticador para que você possa fazer login no serviço real. Ele também se conecta ao mesmo tempo e pode agir como se fosse você, sem que o serviço que está usando saiba a diferença. Afinal, as credenciais corretas foram fornecidas.
Outra desvantagem é que pode não ser fácil obter os códigos de que precisa se perder o telefone. Alguns aplicativos autenticadores como Authy trabalhe em vários dispositivos e use uma senha central para configurar as coisas para que você possa voltar a funcionar rapidamente e a maioria das empresas fornecerá um conjunto de códigos de backup que você pode guardar quando tudo der errado. Como os dados também estão sendo enviados pela Internet, isso enfraquece a eficácia do uso do TOTP, mas oferece maior comodidade aos usuários.
Seguro e conveniente, mas não comum
2. 2FA baseado em push
Alguns serviços, principalmente Apple e Google, podem envie um prompt para o seu telefone durante uma tentativa de login. Este prompt informa que alguém está tentando fazer login em sua conta, também pode fornecer uma localização aproximada e pede para você aprovar ou negar a solicitação. Se for você, você toca em um botão e ele simplesmente funciona.
Uma notificação para 2FA é super fácil e super conveniente. Porém, não perca seu telefone.
A 2FA baseada em push melhora a autenticação SMS 2FA e TOTP de duas maneiras. É ainda mais conveniente porque tudo funciona por meio de uma notificação padrão no seu telefone – tudo o que você precisa fazer é ler e tocar. Também é muito mais resistente a phishing e, até agora, tem se mostrado muito resistente a “hack”. Mas nunca diga nunca.
O 2FA baseado em push também amplia algumas das desvantagens de SMS e TOTP: você precisa estar online por meio de uma conexão de dados real (planos de celular de voz e texto não funcionam) e precisa estar segurando o dispositivo certo para receber a mensagem. Também não é muito padronizado, então você pode usar um prompt de login em seu Google Pixel para autenticar suas outras contas.
Fora essas duas desvantagens reais, o 2FA baseado em push tem se mostrado seguro e conveniente. Também vai levar em consideração Os planos futuros do Google para aplicar 2FA em sua conta do Google daqui para frente.
O vencedor! Mas também irritante!
1. 2FA baseado em hardware
Usando uma peça separada de hardware como um dispositivo autenticador ou uma chave de segurança U2F é a melhor maneira de proteger qualquer conta online. É também o menos conveniente e o menos popular.
Você o configura usando o hardware e sempre que quiser fazer o login de um novo dispositivo ou após um período de tempo definido por um administrador de conta, você precisa produzir o mesmo dispositivo para voltar. Funciona pelo dispositivo que envia um desafio assinado código de volta para o servidor que é específico para o site, sua conta e o próprio dispositivo. Até agora, o U2F tem sido à prova de phishing e hack. Novamente, nunca diga nunca.
Usar uma chave U2F é a maneira menos conveniente, mas a mais segura de fazer a autenticação de dois fatores. Provavelmente não é para você porque é um PITA.
Normalmente, você pode configurar mais de um dispositivo na mesma conta para não perder o acesso se perder sua chave de segurança, mas ainda significa que você precisa ter essa chave sempre que quiser fazer login em um site ou serviço. Eu uso uma chave U2F para proteger minhas contas do Google e, a cada 12 horas, preciso fornecer a chave para voltar à minha conta do Google Enterprise para trabalhar. Isso significa que tenho uma chave na gaveta da minha mesa, uma chave no meu chaveiro e uma chave em um envelope que um amigo guarda para mim em caso de emergência.
Normalmente, você também pode configurar um método de backup de 2FA se estiver usando uma chave e o Google o forçar a fazer isso. Isso é ótimo por conveniência, mas também compromete a segurança da sua conta porque os métodos menos seguros ainda são maneiras viáveis para você – ou qualquer outra pessoa – voltar.
Outra desvantagem de usar um token de hardware como uma chave de segurança é o custo. Usar SMS, ou um aplicativo autenticador ou 2FA baseado em push é gratuito. Para usar um chave de segurança você precisará comprar um e eles podem variar de $ 20 a $ 100 cada. Como você realmente deve ter pelo menos uma chave de backup se estiver indo por esse caminho, isso pode aumentar. Por fim, usar uma chave de segurança com o telefone pode ser desajeitado. Você encontrará chaves que funcionam via USB, NFC e até mesmo Bluetooth, mas nenhum método é 100% confiável 100% do tempo ao usar uma chave com um telefone.
Qual é melhor?
Todos eles e nenhum deles.
Qualquer tipo de 2FA em uma conta é melhor do que nenhum, e mesmo 2FA baseado em SMS significa que você está mais protegido do que estaria se apenas confiasse em uma senha. Se você tiver paciência, um programa como Programa de Proteção Avançada do Google pode tornar sua vida online muito seguro e quase sem preocupações. Mas você precisa pesar a conveniência e a segurança.
Pessoalmente, desejo 2FA baseado em SMS iria apenas embora porque até eu posso hackear. Isso significa que você também pode, se estiver disposto a fazer um um pouco de leitura e um pouco de copiar e colar. Pior, significa que qualquer um pode hackear e há pessoas que gastarão tempo e energia para testá-lo em qualquer vítima desavisada que encontrarem.
No final, você precisa perceber que é um alvo para hackers online, embora não seja um político ou uma estrela de cinema. Isso significa que você realmente precisa dar um ou dois passos extras para proteger suas contas online e, com sorte, saber um pouco mais sobre como funcionam os diferentes métodos de autenticação de dois fatores pode ajudá-lo a tomar a decisão certa.
Análise do Eye of the Temple: espeleologia como Indiana Jones
Eye of the Temple é um jogo de quebra-cabeça de aventura de RV exclusivo onde você estará fisicamente andando em vez de usar os joysticks do seu controlador para se mover. É uma experiência libertadora excelente para quem adora quebra-cabeças.