A autenticação de dois fatores, também conhecida como 2FA (2 factor authentication), tem sido usada pelos principais aplicativos utilizados nos smartphones. O que poucas pessoas sabem é que existem três principais tipos de 2FA, mas o fato mais crítico mesmo é que praticamente ninguém tem ciência de que a verificação de dois fatores via SMS (mensagem de texto) é o método menos seguro de todos.

A autenticação em duas etapas, outro nome dado à 2FA, necessita de dois componentes diferentes para verificar a identidade do usuário. Esses elementos podem ser algo que o usuário sabe (código numérico), algo que o usuário possui (tokens gerados via hardware ou software) ou algo que é inseparável do usuário (métodos biométricos como digital, rosto, voz, íris).

Pare agora de usar a autenticação de dois fatores (2FA) via SMS

Não use a autenticação de dois fatores (2FA) via SMS. Fonte: unsplash (foto por Chris Ried)
Não use a autenticação de dois fatores (2FA) via SMS. Fonte: unsplash (foto por Chris Ried)

No Brasil e no mundo, diversas operadoras de telefonia lutam contra uma prática chamada SIM swapping (ou SIM hijacking ou SIM splitting ou SIM jacking), que consiste na clonagem do cartão/chip SIM. Os hackers (cibercriminosos) assumem o controle do número de telefone da vítima transferindo-o para um novo chip e utilizam da 2FA via SMS (mensagem de texto) para alterar as senhas de diversos aplicativos, podendo acessar contas de e-mail, aplicativos de redes sociais e até mesmo contas bancárias, dependendo dos métodos de segurança utilizados.

Em julho de 2020, o site BleepingComputer relatou que a Verizion disponibilizou um recurso chamado "Number lock" devido às fraudes de aquisição de contas, chamadas de account takeover (ATO) no exterior, através da utilização de cartões/chips SIM. Isso é só um exemplo que demonstra o quão inseguro é utilizar a autenticação de dois fatores via SMS.

Alternativa à autenticação de dois fatores (2FA) via SMS

Como a autenticação de dois fatores (2FA) via SMS não é um método de segurança falho, uma alternativa que pode ser interessante é a utilização de aplicativos de autenticação como, por exemplo, o Google Authenticator, o Microsoft Authenticator, entre outros. Uma vantagem do app da Microsoft sobre o da Google é o backup de dados na nuvem, evitando a perda do acesso às contas quando o usuário muda seu celular.

Em minha experiência, o Microsoft Authenticator tem se mostrado eficiente tanto para a utilização na autenticação de dois fatores (2FA) via token gerado pelo aplicativo quanto no preenchimento automático de senhas. O token é um sistema de geração de códigos e pode ser encontrado em forma física (objeto) ou virtual (software, aplicativo). A cada 30 segundos, o app troca o código de acesso para realizar a 2FA.

Como utilizar o Microsoft Authenticator

Após baixar o aplicativo Microsoft Authenticator na Play Store (Android), a maneira mais fácil de começar a utilizar o app de autenticação é importar as senhas salvas no Gerenciador de Senhas do Google, que estão no navegador Chrome. Para isso, você deve baixar a extensão Preenchimento Automático Microsoft no Chorme para desktop e acessar o seguinte endereço no navegador:

chrome://settings/autofill

Ao inserir o link acima no Chrome, você acessará a seção de Preenchimento Automático. Nesta página, selecione a opção "Gerenciador de Senhas" e localize o escrito "Exportar senhas". Ao fazer isso, aparecerá uma janela para que você selecione onde o arquivo será salvo.

Há duas formas de salvar o arquivo. A primeira é através do aplicativo OneDrive utilizando o "Cofre pessoal", onde é necessário ter ele instalado tanto no computador quanto no celular para possibilitar o acesso ao arquivo que contêm os dados das senhas salvas. O app OneDrive no computador deverá estar aberto para que apareça a opção na hora de salvar o arquivo de senhas exportadas pelo gerenciador do Chrome.

A segunda alternativa é salvar o arquivo em alguma pasta no computador e acessar a extensão Preenchimento Automático Microsoft no navegador Chrome. A diferença entre as duas formas é simplesmente a facilidade de acesso e a segurança no caso da utilização do OneDrive. Para acessar as configurações da extensão, clique no símbolo de peça de quebra-cabeça em cima no canto direito do navegador Chrome e selecione a extensão "Preenchimento Automático Microsoft" como na imagem abaixo.

Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri
Acessando as configurações da extensão "Preenchimento Automático Microsoft" no navegador Google Chrome. Fonte: Vitor Valeri

Selecione configurações na janela da extensão "Preenchimento Automático Microsoft".

Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri
Acessando as configurações da extensão "Preenchimento Automático Microsoft" no navegador Google Chrome. Fonte: Vitor Valeri

Na página de configurações da extensão "Preenchimento Automático Microsoft", selecione "importar dados".

Importando as senhas salvas do navegador Google Chrome para a extensão Preenchimento Automático Microsoft. Fonte: Vitor Valeri
Importando as senhas salvas do navegador Google Chrome para a extensão "Preenchimento Automático Microsoft". Fonte: Vitor Valeri

Clique no botão azul "Escolher arquivo".

Importando
Importando as senhas salvas do navegador Google Chrome para a extensão "Preenchimento Automático Microsoft". Fonte: Vitor Valeri

Pronto, agora você irá utilizar o aplicativo Microsoft Authenticator para acessar suas contas. Entretanto, ainda é necessário acessar os aplicativos que possuem suporte à autenticação de dois fatores (2FA) com aplicativos de autenticação para ativar o recurso e adicioná-lo ao app de autenticação da Microsoft que está instalado no celular.

Exemplos de apps que aceitam esse método:

É importante lembrar que para aumentar a segurança do acesso às suas contas, você deve desativar a verificação de dois fatores via SMS (mensagem de texto), pois há aplicativos que permitem a utilização de mais de um método de verificação de identidade do usuário.

Para utilizar a autenticação de dois fatores no aplicativo Microsoft Authenticator, abra o app e na guia/aba inicial selecione o símbolo "+" em cima no canto direito. Feito isso, selecione qual é a conta que você está adicionando para utilizar a 2FA com token. Caso seja um aplicativo que não é da Microsoft, toque em "outra conta (Google, Facebook, etc.).