Atualmente, parece que todos os sites que você visita tentam encorajá-lo a usar a autenticação de dois fatores (2FA).
Uma das formas mais comuns de usar o 2FA é inserir um código exclusivo do seu dispositivo móvel. Normalmente, você recebe o código em uma mensagem de texto ou usa um aplicativo 2FA de terceiros para gerar um.
Os dois métodos são formas populares de usar códigos devido à sua conveniência. No entanto, ambos os métodos também são fracos do ponto de vista de segurança. E como seu código 2FA é tão seguro quanto a tecnologia usada para entregá-lo, os pontos fracos são importantes.
Então, o que há de errado em usar o SMS e aplicativos de terceiros para acessar seus códigos? E existe uma alternativa igualmente conveniente e mais segura? Nós vamos explicar tudo. Continue lendo para saber mais.
Como funciona a autenticação de dois fatores
Vamos dar um tempo para discutir como funciona a autenticação de dois fatores. Sem entender a mecânica por trás da tecnologia, o resto deste artigo não fará muito sentido.
Em termos gerais, o 2FA adiciona uma camada extra de segurança à sua conta. Também conhecida como autenticação multifator, as credenciais de login consistem não apenas de uma senha, mas também de uma segunda informação a que apenas o proprietário legítimo da conta tem acesso.
O 2FA vem em muitas formas diferentes Os prós e os contras de tipos e métodos de autenticação de dois fatores Os prós e os contras dos tipos e métodos de autenticação de dois fatores Os métodos de autenticação de dois fatores não são criados iguais. Alguns são comprovadamente mais seguros e mais seguros. Aqui está uma olhada nos métodos mais comuns e quais melhor atendem às suas necessidades individuais. Consulte Mais informação . Em seu nível mais básico, poderia ser algo tão simples quanto perguntas de segurança (porque ninguém mais poderia saber o nome de solteira de sua mãe Por que você está respondendo perguntas de segurança de senha errado Por que você está respondendo perguntas de segurança de senha errado Como você responde on-line perguntas de segurança da conta? Respostas honestas? Infelizmente, a sua honestidade poderia criar uma brecha na sua armadura online. Vamos dar uma olhada em como responder com segurança a perguntas de segurança. Leia mais ou seu animal de estimação favorito). No final mais complicado, pode ser uma ID biométrica, como uma varredura de retina ou uma impressão digital.
Por que você deve evitar a verificação por SMS
SMS goza de uma posição como a maneira mais acessível para acessar e usar códigos 2FA. Se um site oferece logons de autenticação de dois fatores, quase certamente oferece o SMS como uma das opções.
Mas o SMS não é uma maneira segura de usar o 2FA. Tem duas vulnerabilidades principais.
Em primeiro lugar, a tecnologia é suscetível a ataques de troca de SIM . Não é preciso muito para um hacker realizar um SIM Swap. Se tiverem acesso a outra informação pessoal, como o seu número de segurança social, podem telefonar para a sua operadora e transferir o seu número para um novo cartão SIM.
Em segundo lugar, os hackers podem interceptar mensagens SMS . Tudo volta para o já anunciado sistema de roteamento de telefone do Sistema de Sinalização No. 7 (SS7). A metodologia foi projetada em 1975, mas ainda é usada quase que globalmente para conectar e desconectar chamadas. Ele também lida com traduções de números, faturamento pré-pago e, crucialmente, mensagens SMS.
Não é novidade que essa tecnologia de 1975 está cheia de falhas de segurança. Veja como o especialista em segurança Bruce Schneier descreveu as falhas:
“Se os invasores tiverem acesso a um portal SS7, eles poderão encaminhar suas conversas para um dispositivo de gravação on-line e redirecionar a chamada para o destino pretendido. […] Isso significa que um criminoso bem equipado pode pegar suas mensagens de verificação e usá-las antes de você. ve até os viu. ”
É claro, descobrir que um criminoso cibernético invadiu seu Facebook Como descobrir se sua conta do Facebook foi invadida Como descobrir se sua conta do Facebook foi invadida Devido à quantidade de dados que adicionamos aos nossos perfis, é mais importante mais do que nunca para garantir que você fique por dentro das configurações de privacidade do Facebook. Leia mais conta está longe de ser ideal. Mas a situação é mais assustadora quando você considera outros os usos do 2FA. Um cibercriminoso pode roubar códigos que você usa em seu banco on-line, ou até mesmo iniciar e concluir transferências de dinheiro 6 Aplicativos para ajudar você a transferir dinheiro entre amigos 6 Aplicativos para ajudar você a transferir dinheiro entre amigos Às vezes, você precisa enviar dinheiro a amigos com rapidez e segurança . Aqui estão seis das melhores opções disponíveis. Consulte Mais informação .
Além disso, Schneier também afirma que qualquer pessoa pode comprar acesso à rede SS7 por cerca de US $ 1.000. Uma vez que eles tenham acesso, eles podem enviar uma solicitação de roteamento. Para completar o problema, a rede pode não autenticar a origem da solicitação.
Lembre-se, usar a autenticação de dois fatores via SMS é melhor do que deixar 2FA desativado. E é provavelmente improvável que você se torne uma vítima. No entanto, se você está começando a se sentir um pouco preocupado, precisa continuar lendo. Muitas pessoas aceitam que o SMS é inseguro e, em vez disso, usam aplicativos de terceiros.
Mas isso pode não ser muito melhor.
Por que você deve evitar 2FA Apps
A outra maneira comum de usar códigos 2FA é instalar um aplicativo de smartphone dedicado. Há muito por onde escolher. O Google Authenticator é indiscutivelmente o mais reconhecível, mas não é necessariamente o melhor. Existem muitas alternativas por aí - confira Authy, Authenticator Plus e Duo.
Mas quão seguros são os aplicativos 2FA especializados? Sua maior fraqueza é a dependência de uma chave secreta .
Vamos dar um passo para trás por um segundo. Caso você não saiba, ao se inscrever em muitos dos aplicativos pela primeira vez, você precisará inserir uma chave secreta. O segredo é compartilhado entre você e o provedor do aplicativo.
Quando você acessa um site, o código criado pelo aplicativo é baseado em uma combinação de sua chave e a hora atual. No mesmo momento, o servidor está gerando um código usando as mesmas informações. Os dois códigos precisam corresponder para que o acesso seja concedido. Parece sensato.
Então, por que as chaves são o ponto fraco? Bem, o que acontece se um criminoso cibernético conseguir acessar o banco de dados de senhas e segredos de uma empresa? Cada conta seria vulnerável - o invasor poderia ir e vir Como verificar se alguém está acessando sua conta do Facebook Como verificar se alguém está acessando sua conta do Facebook É algo sinistro e preocupante se alguém tiver acesso à sua conta do Facebook sem o seu conhecimento. Veja como saber se você foi violado. Leia mais à vontade.
Em segundo lugar, o segredo é exibido em texto simples ou como um código QR; ele não pode ser hash ou usado com sal O que todo esse material hash MD5 realmente significa [tecnologia explicada] O que todo esse material hash MD5 realmente significa [tecnologia explicada] Aqui está um resumo completo de MD5, hash e uma pequena visão geral de computadores e criptografia. Consulte Mais informação . É provavelmente também em texto simples nos servidores da empresa.
A chave secreta é a falha fundamental na Senha Única Baseada no Tempo (TOTP) que aplicativos especialistas usam. É por isso que uma chave física U2F é sempre uma opção mais segura.
Falhas no design e segurança para 2FA Apps
É claro que as chances de um hacker invadir os bancos de dados necessários de um aplicativo de terceiros são bem pequenas. Mas seu aplicativo também pode sofrer com falhas básicas de segurança em seu design.
Popular gerenciador de senhas LastPass 8 maneiras fáceis de aumentar sua segurança LastPass 8 maneiras fáceis de aumentar sua segurança LastPass Você pode estar usando o LastPass para gerenciar suas muitas senhas online, mas você está usando certo? Aqui estão oito passos que você pode tomar para tornar sua conta do LastPass ainda mais segura. Read More foi vítima em dezembro de 2017. Uma postagem no blog de um programador no Medium revelou que chaves secretas de 2FA podem ser acessadas sem uma impressão digital, senha ou outra medida de segurança.
A solução alternativa não foi nem complicada. Ao acessar a atividade de configurações do aplicativo LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), pode-se entrar no painel de configurações do aplicativo sem nenhuma verificação. A partir daí, você pode pressionar Voltar uma vez para acessar todos os códigos 2FA.
LastPass já corrigiu a falha, mas as questões permanecem. Segundo o programador, ele tentou contar ao LastPass sobre o assunto por sete meses, mas a empresa nunca o corrigiu. Quantos outros aplicativos 2FA de terceiros são inseguros? E quantas vulnerabilidades não corrigidas os desenvolvedores conhecem, mas atrasam o patch?
O que fazer em vez disso: use chaves U2F
Em vez de depender de SMS e 2FA para seus códigos, você deve usar as chaves do Universal 2nd Factor O que são chaves U2F e onde elas são suportadas? Quais são as chaves U2F e onde elas são suportadas? As chaves do U2F são uma das melhores maneiras de manter suas contas seguras e protegidas. Mas onde estão as chaves U2F suportadas? Leia mais (U2F). Eles são a maneira mais segura de gerar códigos e acessar seus serviços.
Amplamente considerada uma versão de segunda geração do 2FA, simplifica e fortalece o protocolo atual. Além disso, usar chaves U2F é quase tão conveniente quanto abrir uma mensagem SMS ou um aplicativo de terceiros.
As teclas U2F usam uma conexão NFC ou USB. Quando você conecta seu dispositivo a uma conta pela primeira vez, ele gera um número aleatório chamado "Nonce". O Nonce é combinado com o nome de domínio do site para criar um código exclusivo.
Depois disso, você pode implantar sua chave U2F conectando-a ao seu dispositivo e aguardando que o serviço a reconheça.
Então, qual é o lado negativo? Bem, embora o U2F seja um padrão aberto, ainda custa dinheiro para comprar uma chave física do U2F. E talvez mais preocupante, você está em risco de roubo.
Uma chave U2F roubada não torna a sua conta automaticamente insegura; um hacker ainda precisa saber sua senha. Mas em uma área pública, um ladrão pode já ter visto você digitar sua senha de longe, antes de roubar seus pertences.
Chaves U2F podem ser caras
Os preços variam consideravelmente entre os fabricantes, mas você pode esperar pagar entre US $ 15 e US $ 50.
Idealmente, você quer comprar um modelo que seja “FIDO Certified”. A Aliança FIDO (Fast IDentity Online) é responsável por alcançar a interoperabilidade entre as tecnologias de autenticação. Os membros incluem todos, do Google e da Microsoft, ao Bank of America e MasterCard.
Ao comprar um dispositivo FIDO, você pode ter certeza de que a chave U2F funcionará com todos os serviços que você usa todos os dias. Confira a chave do DIGIPASS SecureClick U2F se você quiser comprar uma.
DIGIPASS Chave de Segurança SecureClick FIDO U2F DIGIPASS Chave de Segurança SecureClick FIDO U2F Compre Agora Na Amazon $ 39.00
Inseguro 2FA ainda é melhor do que não 2FA
Resumindo, as chaves do Universal 2nd Factor fornecem um meio de comunicação entre a facilidade de uso e a segurança. O SMS é a abordagem menos segura, mas também a mais conveniente.
E lembre-se, qualquer 2FA é melhor que nenhum 2FA. Sim, você pode levar mais 10 segundos para fazer login em determinados aplicativos, mas é melhor do que sacrificar sua segurança.