A autenticação de dois fatores, também conhecida como 2FA (2 factor authentication), tem sido usada pelos principais aplicativos utilizados nos smartphones. O que poucas pessoas sabem é que existem três principais tipos de 2FA, mas o fato mais crítico mesmo é que praticamente ninguém tem ciência de que a verificação de dois fatores via SMS (mensagem de texto) é o método menos seguro de todos.
A autenticação em duas etapas, outro nome dado à 2FA, necessita de dois componentes diferentes para verificar a identidade do usuário. Esses elementos podem ser algo que o usuário sabe (código numérico), algo que o usuário possui (tokens gerados via hardware ou software) ou algo que é inseparável do usuário (métodos biométricos como digital, rosto, voz, íris).
Pare agora de usar a autenticação de dois fatores (2FA) via SMS
No Brasil e no mundo, diversas operadoras de telefonia lutam contra uma prática chamada SIM swapping (ou SIM hijacking ou SIM splitting ou SIM jacking), que consiste na clonagem do cartão/chip SIM. Os hackers (cibercriminosos) assumem o controle do número de telefone da vítima transferindo-o para um novo chip e utilizam da 2FA via SMS (mensagem de texto) para alterar as senhas de diversos aplicativos, podendo acessar contas de e-mail, aplicativos de redes sociais e até mesmo contas bancárias, dependendo dos métodos de segurança utilizados.
Em julho de 2020, o site BleepingComputer relatou que a Verizion disponibilizou um recurso chamado "Number lock" devido às fraudes de aquisição de contas, chamadas de account takeover (ATO) no exterior, através da utilização de cartões/chips SIM. Isso é só um exemplo que demonstra o quão inseguro é utilizar a autenticação de dois fatores via SMS.
Alternativa à autenticação de dois fatores (2FA) via SMS
Como a autenticação de dois fatores (2FA) via SMS não é um método de segurança falho, uma alternativa que pode ser interessante é a utilização de aplicativos de autenticação como, por exemplo, o Google Authenticator, o Microsoft Authenticator, entre outros. Uma vantagem do app da Microsoft sobre o da Google é o backup de dados na nuvem, evitando a perda do acesso às contas quando o usuário muda seu celular.
Em minha experiência, o Microsoft Authenticator tem se mostrado eficiente tanto para a utilização na autenticação de dois fatores (2FA) via token gerado pelo aplicativo quanto no preenchimento automático de senhas. O token é um sistema de geração de códigos e pode ser encontrado em forma física (objeto) ou virtual (software, aplicativo). A cada 30 segundos, o app troca o código de acesso para realizar a 2FA.
Como utilizar o Microsoft Authenticator
Após baixar o aplicativo Microsoft Authenticator na Play Store (Android), a maneira mais fácil de começar a utilizar o app de autenticação é importar as senhas salvas no Gerenciador de Senhas do Google, que estão no navegador Chrome. Para isso, você deve baixar a extensão Preenchimento Automático Microsoft no Chorme para desktop e acessar o seguinte endereço no navegador:
chrome://settings/autofill
Ao inserir o link acima no Chrome, você acessará a seção de Preenchimento Automático. Nesta página, selecione a opção "Gerenciador de Senhas" e localize o escrito "Exportar senhas". Ao fazer isso, aparecerá uma janela para que você selecione onde o arquivo será salvo.
Há duas formas de salvar o arquivo. A primeira é através do aplicativo OneDrive utilizando o "Cofre pessoal", onde é necessário ter ele instalado tanto no computador quanto no celular para possibilitar o acesso ao arquivo que contêm os dados das senhas salvas. O app OneDrive no computador deverá estar aberto para que apareça a opção na hora de salvar o arquivo de senhas exportadas pelo gerenciador do Chrome.
A segunda alternativa é salvar o arquivo em alguma pasta no computador e acessar a extensão Preenchimento Automático Microsoft no navegador Chrome. A diferença entre as duas formas é simplesmente a facilidade de acesso e a segurança no caso da utilização do OneDrive. Para acessar as configurações da extensão, clique no símbolo de peça de quebra-cabeça em cima no canto direito do navegador Chrome e selecione a extensão "Preenchimento Automático Microsoft" como na imagem abaixo.
Selecione configurações na janela da extensão "Preenchimento Automático Microsoft".
Na página de configurações da extensão "Preenchimento Automático Microsoft", selecione "importar dados".
Clique no botão azul "Escolher arquivo".
Pronto, agora você irá utilizar o aplicativo Microsoft Authenticator para acessar suas contas. Entretanto, ainda é necessário acessar os aplicativos que possuem suporte à autenticação de dois fatores (2FA) com aplicativos de autenticação para ativar o recurso e adicioná-lo ao app de autenticação da Microsoft que está instalado no celular.
Exemplos de apps que aceitam esse método:
É importante lembrar que para aumentar a segurança do acesso às suas contas, você deve desativar a verificação de dois fatores via SMS (mensagem de texto), pois há aplicativos que permitem a utilização de mais de um método de verificação de identidade do usuário.
Para utilizar a autenticação de dois fatores no aplicativo Microsoft Authenticator, abra o app e na guia/aba inicial selecione o símbolo "+" em cima no canto direito. Feito isso, selecione qual é a conta que você está adicionando para utilizar a 2FA com token. Caso seja um aplicativo que não é da Microsoft, toque em "outra conta (Google, Facebook, etc.).
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.
