Alguns hacks de alto perfil abalaram o mundo digital apenas nos últimos 5 anos. Alguns dos gigantes da tecnologia mais poderosos viram seu quinhão de controvérsia. Resposta? Enquanto os hackers éticos estão em uma eterna corrida contra o tempo para vencer seu inimigo, os usuários agora estão sendo incentivados a usar uma senha forte para reduzir as chances de suas contas serem comprometidas. Mas isso não é suficiente. Mais recentemente, o 2FA emergiu como o vencedor, com mais e mais empresas adotando os padrões FIDO para permitir que os usuários usem uma segunda camada de autenticação de login.
Tipos de 2FA
2FA significa autenticação de dois fatores em que o usuário é obrigado a inserir um código de 6 dígitos, além do nome de usuário e senha. Este código é gerado e entregue ao usuário de várias maneiras:
- SMS
- aplicativo 2FA
- Chave de segurança
Existem alguns outros tipos também, como impressão digital ou digitalização de retina, mas eles ainda não funcionam em aplicativos e sites. Basicamente, quando você adiciona uma segunda camada de verificação ou autenticação para login, chama-se 2FA. Para os fins deste artigo, vamos nos concentrar nesses 3 que são acessíveis a todos os usuários em vários sites e aplicativos.
Eu acho que o SMS é o mais fraco e aqui está o porquê. Meu cartão de crédito foi hackeado uma vez e cerca de US$ 1.000 foram roubados, ou melhor, usados, em 15 segundos. Nenhum OTP foi recebido! Está se tornando cada vez mais fácil falsificar um cartão SIM e solicitar um OTP que é então entregue ao smartphone do hacker usando uma técnica chamada troca de SIM.
O aplicativo 2FA é mais seguro, pois o código é gerado por meio de um aplicativo móvel instalado em seu smartphone. Isso exige que o hacker tenha acesso físico ao seu telefone ou roube seu cookie de sessão do usuário .
A última, chave de segurança, é a mais segura, pois usa um dispositivo de chave de segurança de hardware, como o Yubikey, que funciona via USB ou Bluetooth para verificar seu login. O único problema é que os dispositivos de chave de segurança são caros e os aplicativos são gratuitos. Bem, na minha opinião, o aplicativo 2FA ainda é muito melhor do que usar apenas uma senha. Este site sem fins lucrativos mantém uma lista ativamente atualizada de todos os sites que suportam 2FA e de que forma. Surpreendentemente, muitos bancos proeminentes ainda não oferecem suporte a chaves de segurança ou aplicativos 2FA, mas dependem apenas de SMS.
Leia também: Como usar o telefone Android para verificar o login do Google no iOS usando 2SV
1. Aplicativos 2FA notáveis
1. Autenticador do Google
Não é o melhor aplicativo 2FA do mundo, mas com certeza é o mais famoso. Tudo graças à empresa por trás dele, que criou uma onipresença na web.
O Google Authenticator funciona como qualquer outro aplicativo 2FA. Você digitaliza um código QR usando a câmera traseira e insere o código de 6 dígitos para verificar o processo. A primeira coisa que me prendeu foi a falta de segurança do aplicativo. Este é um aplicativo importante, mas não há como bloqueá-lo. Claro que posso usar um armário de aplicativos e usar o bloqueio de padrão para desbloquear meu telefone. Mas um aplicativo tão importante, deveria vir com um bloqueio de aplicativo.
Outra coisa é que não há como fazer backup do conteúdo ou das configurações deste aplicativo caso eu esteja trocando de telefone. Terei que verificar novamente todos os sites/aplicativos, o que pode ser uma tarefa árdua, porque primeiro terei que desabilitar o 2FA porque não terei acesso ao meu telefone antigo, então não poderei fazer login.
A interface do usuário é simples e minimalista, como outros aplicativos do Google que passamos a gostar e usar. Há suporte para tema escuro, mas não é preto verdadeiro. É totalmente gratuito e sem anúncios.
Prós:
- Livre
- Tema escuro
- Código QR
Contras:
- Sem bloqueio de aplicativo
- Não há como fazer backup
- Agora aplicativo para Windows ou Mac
Baixe o Google Authenticator para Android
Baixe o Google Authenticator para iOS
2. Autenticidade
Authy pega onde o Google Authenticator sai. Você obtém os mesmos recursos e mais alguns. O Authy permite que você faça backups seguros de seus códigos na nuvem, o que facilita muito a troca de dispositivos, algo que fazemos o tempo todo hoje em dia. Esses backups são criptografados.
Tenho dois smartphones e um computador. O que eu faço é escanear todos os códigos usando o Google Authenticator em ambos os telefones, caso eu perca o acesso a um. O Authy resolve esse problema, permitindo que eu sincronize todos os códigos em vários dispositivos, incluindo Windows e Mac.
A interface do usuário é bonita e colorida. Eu tenho que rolar muito no Google Authenticator para encontrar os códigos necessários. O Authy facilita isso usando os logotipos do site. Eles são maiores e fáceis de encontrar e tocar.
Há suporte a widgets, mas não recomendo usá-los. Eles são fáceis de detectar na tela inicial quando você está usando/compartilhando seu smartphone e podem incluir segurança. Finalmente, Authy tem uma opção para bloquear o aplicativo que eu aprecio muito. No geral, o Authy faz um ótimo trabalho e é totalmente gratuito.
No lado negativo, o Authy pede seu número de celular quando você registra sua conta. Veja, o Authy se atribui ao seu número enquanto o Google Authenticator se atribui à sua conta do Google e ao seu smartphone. Anteriormente, discutimos como é fácil falsificar um número usando a troca de SIM, mas pegar seu celular e desbloqueá-lo pode ser mais difícil. É aqui que Authy perde. É menos seguro que o Google Authenticator, e esse é o aspecto mais importante de qualquer maneira.
Prós:
- Livre
- Melhor IU
- Código QR
- Bloqueio do aplicativo
- Códigos alternativos
- Suporte ao navegador
- Disponível em Android, iOS, Mac e Windows
Contras:
- Depende do número de telefone/SMS para fazer login
Baixe Authy para Android
Baixe o Authy para iOS
Leia também: Como configurar a autenticação de dois fatores no seu aplicativo do Instagram
3. Autenticador do LastPass
O LastPass ganhou fama por ser um gerenciador de senhas estelar, no entanto, a empresa tem sido notícia ultimamente por ser hackeada e corrigir várias vulnerabilidades de segurança para o gerenciador de senhas e o aplicativo 2FA . Ainda assim, é um dos aplicativos mais populares e é um produto bastante sólido.
Assim como o Authy, o LastPass Authenticator vem com um bloqueio de aplicativo para que ninguém possa acessar o aplicativo e usar os códigos 2FA, mesmo que consigam acessar seu telefone. Você pode fazer backup de códigos criptografados e armazenados em sua conta do LastPass para poder trocar de telefone facilmente.
O que eu gosto no aplicativo são as notificações push que permitem que você faça login na sua conta do LastPass com um único toque. Você pode vê-lo em ação na captura de tela acima. O login com um toque funciona apenas para o LastPass.
Prós:
- Livre
- Melhor IU
- Código QR
- Bloqueio do aplicativo
- Códigos alternativos
- Suporte para Windows
Contras:
- Nenhum aplicativo nativo para Mac
Baixe o LastPass Authenticator para Android
Baixe o LastPass Authenticator para iOS
Leia também: Como verificar se suas credenciais de login foram comprometidas
4. Autenticador da Microsoft
A Microsoft segue o exemplo e oferece uma interface do usuário com logotipos para sites e aplicativos comuns, o que facilita a identificação e o uso de códigos 2FA. Embora você possa fazer backup de códigos 2FA em sua conta da Microsoft usando um dispositivo iOS, por algum motivo, o Android foi deixado para trás. Isso significa que o Android é menos seguro que o iOS? Não vou tocar nesse debate com uma vara de 10 pés.
Finalmente, há um bloqueio de aplicativo embutido para que ninguém possa abrir e usar seus códigos. Você pode usar o Microsoft Authenticator sem usar uma conta da Microsoft e também não há necessidade de registrar um cartão SIM. Agradável.
Prós:
- Livre
- Melhor IU
- Código QR
- Bloqueio do aplicativo
- Códigos de backup (somente iOS)
Contras:
Baixe o Microsoft Authenticator para Android
Baixe o Microsoft Authenticator para iOS
2. Dispositivos de chave de segurança 2FA notáveis
1. Yubikey
O Yubikey ganhou fama e é tão popular no mundo das chaves de segurança 2FA quanto o Google Authenticator nos aplicativos 2FA. Em vez de inserir códigos gerados em um aplicativo, você usará um dispositivo USB para autenticar os logins. Para fazer isso, você tocará no anel dourado para autenticar. Fácil e funciona como um encanto.
Os cartões SIM são fáceis de falsificar usando o truque de troca de SIM e o LastPass nos ensinou que os aplicativos 2FA, embora muito seguros, ainda não são à prova de hackers. Yubikey resolve esse problema.
O Yubico oferece diferentes dispositivos de chave de segurança que funcionam com diferentes tecnologias, como USB A, USB C e NFC para smartphones. Essas chaves são à prova d'água, à prova de esmagamento e à prova de poeira. Eles são compatíveis com FIDO U2F e os preços começam em US $ 27.
Obter Yubikey
2. Google Titã
O Google criou sua própria chave de segurança conhecida como Titan. Também é compatível com FIDO U2F, mas há uma diferença. Há suporte para Bluetooth que leva algum tempo para configurar, mas permite que os usuários autentiquem logins sem fio. Existem dois modelos disponíveis. Ambos vêm com USB e NFC, mas um também suporta Bluetooth.
O chip Google Titan também está integrado aos smartphones Pixel 3, o que permite uma melhor segurança do Android. No entanto, eles não se cruzam em nenhum momento, o que significa que você não pode usar seu telefone para armazenar códigos 2FA para aplicativos e sites de terceiros. A chave de segurança Titan está disponível apenas nos EUA.
Obter Google Titan
Aplicativos 2FA e dispositivos de chave de segurança
Estes são alguns dos melhores aplicativos 2FA e dispositivos de chave de segurança disponíveis no mercado no momento. Eu recomendaria o Microsoft Authenticator para a maioria dos usuários porque ele oferece suporte a backups, tem melhor interface do usuário e é mais seguro. O Google Authentictor também é bom. O LastPass é recomendado para quem usa o Gerenciador de Senhas do LastPass.
Se você precisar de uma chave de segurança, eu recomendaria o Yubikey, pois eles são os melhores, mais fáceis de usar e estão disponíveis em vários sabores.