Você lembra do escândalo que expôs fotografias de algumas celebridades nuas? A história tornou-se uma oportunidade para ensinar as pessoas a se proteger.
Por exemplo, ele fez muitas pessoas perceberem que o nome do animal de estimação não é uma senha segura, e autenticação em dois fatores não se destina exclusivamente para geeks de TI, mas para todos que possuem um iPhone, por exemplo.
As fotos, que fizeram muito barulho na rede, ano passado, vazaram do serviço iCloud da Apple, onde as as imagens feitas com dispositivos Apple são armazenadas. Os hackers usaram a maneira mais simples para invadir o serviço, utilizando uma combinação de phishing e força bruta. Para compensar possíveis falhas de segurança e proteger seus usuários, a Apple habilitou a autenticação em dois fatores (ou 2FA) no iCloud e incentiva os usuários a usá-lo em todos os momentos.
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
No entanto, o 2FA no iCloud, bem como no Gmail, Facebook e muitos outros serviços online é opcional. A maioria das pessoas preferem ignorá-lo e afirmam ser inconveniente ou não ter tempo para isso.
Ao mesmo tempo, é muito fácil perder o controle sobre o seu e-mail ou perfil de mídia social, mesmo que você não seja a Kim Kardashian. As consequências podem ser devastadoras, especialmente se você trabalha em uma empresa com DNA digital.
Opte pela proteção em dois fatores
A maioria das pessoas pensa que a autenticação em dois fatores é um sistema que envia senhas por mensagens de texto. Bem, este é o método mais difundido do 2FA para serviços web, mas não é o único.
Em geral, o 2FA é como uma porta com dois cadeados. Um é a tradicional combinação de login e senha, e o segundo poderia ser qualquer outra coisa. Além disso, se dois cadeados não são suficientes, você pode usar outros, mas tornaria o processo de abrir uma porta muito mais demorado -por isso é bom começar com dois.
10 Dicas para proteger sua #privacidade online | https://t.co/uZr24My3kH pic.twitter.com/VAbXQ1jbR4
— Kaspersky Brasil (@Kasperskybrasil) March 17, 2016
Senhas via SMS são uma maneira viável e relativamente confiável de autenticação, verdade, que nem sempre é útil. Afinal, toda vez que você precisasse acessar um serviço, primeiro seria necessário estar com o telefone disponível, e depois esperar pelo SMS para inserir os dígitos.
Se você cometer um erro ou demorar demais para inserir o código, o procedimento deve ser repetido. Se, por exemplo, estiver sem sinal ou se sua operadora estiver com a rede congestionada, o SMS pode ser entregue com atraso. Para mim, seria realmente irritante.
Se você não tem sinal (que é frequentemente o caso quando você viaja), isso significaria nenhuma senha para você, ou seja, zero acesso. Você pode perder seu telefone, e ainda não conseguir acessar outros canais de comunicação -em uma situação como essa é ainda mais frustrante.
Para casos como estes, muitos serviços web como o Facebook e o Google oferecem outras opções. Por exemplo, eles oferecem uma lista de senhas que você só poderia usar uma vez, e imprimir e armazenar em algum lugar seguro.
Cinco meios para proteger suas fotos #privacidade
Tweet
Além disso, o 2FA com os códigos únicos entregues via SMS podem apenas ser habilitados quando alguém faz login a partir de um dispositivo desconhecido. A decisão é sua. Sua escolha depende do tamanho da sua paranoia. O método é o mesmo para todos os aplicativos relacionados à sua conta, como e-mails de clientes. Uma vez que você usa uma senha gerada, ela será segura por algum tempo.
Então, a menos que você se conecte em um novo dispositivo todo dia, SMS habilitado para o 2FA não é um grande negócio. Uma vez configurado, ele funciona tranquilamente.
ID em um smartphone
Se você é viajante frequente, uma maneira mais inteligente para habilitar o 2FA seria um aplicativo especial. Ao contrário do SMS, este método permite a autenticação off-line. A senha de uso único é gerada não em um servidor, mas no smartphone (no entanto, a configuração inicial requer conexão à Internet).
Há uma série de aplicativos de autenticação, mas o Google Authenticator é um excelente serviço com essa funcionalidade. Além do Gmail, este programa suporta outros serviços como Facebook, Tumblr, Dropbox, vk.com, WordPress e muito mais.
Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs
— Google (@Google) October 3, 2013
Senha única para gerenciar tudo
As soluções acima citadas têm uma grande falha. Se você estiver usando o mesmo dispositivo para entrar e receber SMS com senhas de uso único ou implantar um aplicativo gerador de senhas 2FA, essa proteção não parecerá tão confiável.
Um maior nível de proteção é fornecida por tokens de hardware. Eles variam em forma, configurações de segurança. Podem ser tokens USB, cartões inteligentes, tokens off-line com um display digital, mas o princípio é essencialmente o mesmo. Em essência, são mini computadores que geram senhas únicas assim que solicitado. As senhas são então introduzidas manualmente ou automaticamente – por exemplo, por meio de uma interface USB.
Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP – http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR
— Yubico | #YubiKey (@Yubico) April 16, 2015
Esses hardware de senhas não dependem de cobertura de rede ou de um telefone ou qualquer outra coisa; cumprem seu papel muito bem. Mas são comprados separadamente e algumas pessoas acham difícil não perdê-los, pois muitos são gadgets minúsculos.
Normalmente, são usados para proteger os serviços bancários online, sistemas corporativos e outras coisas importantes.
Chip sob a pele
Hardware de senhas tradicionais fornecem um alto nível de segurança, mas não usá-los pode não ser muito conveniente. Por exemplo, um dia você poderia estar doente e cansado, até mesmo para conectar um drive USB quando precisasse acessar um serviço online, e não poderia estar conectado a um smartphone.
Seria muito mais fácil usar uma senha wireless, entregue via Bluetooth ou NFC. Isso é possível nas novas especificações FIDO U2F.
Uma tag serve para identificar se usuário é realmente legítimo e pode ser implantada em qualquer lugar: chaveiro, cartão bancário, ou mesmo em um chip NFC implantado sob a pele. Qualquer smartphone seria capaz de ler esta senha e autenticar o usuário.
Um, dois, muitos
No entanto, o conceito geral de autenticação de dois fatores não é muito novo. Os principais serviços como Google e Facebook (silenciosamente) usam a análise multi-fatores para o acesso seguro, em última instância. Eles avaliam o dispositivo e o navegador usado para fazer login, bem como a localização, ou padrões de uso. Os bancos usam sistemas semelhantes para detectar atividades fraudulentas.
Assim, no futuro, é provável que a maioria dos serviços optem por soluções multi-fatores avançados, que proporcionam equilíbrio certo entre a conveniência e segurança. Um dos grandes exemplos que ilustram este método é o Projeto Abacus, que foi apresentado recentemente na conferência Google I/O.
4 new @Google projects from #IO15: #Soli, #Jacquard, #Vault and #Abacus https://t.co/W3syPCLuli pic.twitter.com/rRadOQmtng
— Kaspersky (@kaspersky) June 22, 2015
Nesse cenário, seu ID será confirmado não só por uma senha, como também por diversos outros fatores: localização, o que está fazendo atualmente, respiração, batimentos cardíacos, entre outros. O dispositivo para detectar e identificar estes fatores seria, como você pode imaginar, seu smartphone.
Um exemplo interessante é o desenvolvido por pesquisadores suíços que usam ruídos do meio como um de autenticação.
A ideia por trás desse conceito é o que os pesquisadores chamam Sound-Proof, na verdade, é muito simples. Uma vez que você tenta acessar um determinado serviço a partir do seu computador, o servidor envia uma solicitação para um aplicativo instalado em seu smartphone. Em seguida, o computador e o aplicativo do smartphone usam o som do meio e o transforma em uma assinatura digital, criptografa e envia para o servidor para análise. Se forem iguais, é uma prova da identidade do usuário.
Naturalmente, esta abordagem não é ideal. E se uma pessoa mal intencionada está sentada ao lado do usuário em um restaurante? O ruído no ambiente pode ser praticamente o mesmo. Então, deve haver outros fatores para impedi-lo de invadir sua conta.