Segurança ao quadrado

A autenticação de dois fatores é uma proteção extra para os usuários on-line. A Conta do Google oferece várias opções.

Uma invasão que rouba dados pode ter consequências desagradáveis. Há diversos casos em que invasores desconhecidos usaram as contas das vítimas para fazer trollagens em mídias sociais ou para enviar e-mails fraudulentos. Algumas pessoas passaram por experiências em que o dinheiro desapareceu de contas bancárias on-line. Normalmente, as pessoas não notam que a conta foi invadida até que o dano já tenha sido causado.

Um dos motivos por que roubo de dados ocorre repetidamente é que os usuários confiam demais nas senhas para protegê-los no ambiente on-line. As pessoas não sabem da existência de listas digitais que contêm milhões de combinações de nomes de usuário e senhas. Esses "despejos de senha", como são chamados pelos especialistas, são criados com dados coletados em diversas instâncias de roubo de informações. Como a maioria das pessoas usa a mesma senha em diversos serviços, as informações de login da Conta do Google também podem ser encontradas nessas listas, mesmo que as contas não tenham de fato sido invadidas. O phishing representa outra ameaça constante. Ele é uma tentativa fraudulenta de acessar senhas e outras informações por e-mails ou sites que parecem confiáveis.

É por isso que empresas como o Google recomendam que os usuários usem a autenticação de dois fatores para garantir a segurança de contas on-line. Esse processo envolve a apresentação de dois fatores diferentes para que o login seja concluído, como uma senha e um código recebido por mensagem de texto, por exemplo. Esse método de autenticação se tornou bastante comum, principalmente para bancos e empresas de cartão de crédito.

Os especialistas em segurança distinguem três tipos básicos de fatores de segurança. O primeiro é uma informação (algo que você sabe), por exemplo, um usuário recebe um código por mensagem de texto e o informa durante o login, ou responde uma pergunta de segurança. O segundo é um objeto físico (algo que você tem) que pode ser usado para autenticação, como um cartão de crédito. O terceiro é um dado biométrico (algo que você é), como quando um usuário de smartphone desbloqueia a tela com a impressão digital. Todas as estratégias de autenticação de dois fatores empregam uma combinação de dois desses diferentes tipos.

O Google oferece diversos tipos de autenticação de dois fatores. Além da senha tradicional, os usuários também podem inserir um código de segurança único recebido por mensagem de texto, chamada de voz ou gerado no app Google Authenticator (compatível com o Android e com o sistema operacional da Apple, o iOS). Os usuários também podem informar uma lista de dispositivos confiáveis na Conta do Google. Caso um usuário tente fazer login de um dispositivo que não esteja na lista, receberá um aviso de segurança do Google.

Há três anos, o Google também oferece aos usuários a opção de usar um token físico de segurança, chamado de "chave de segurança", que é um dongle USB, NFC ou Bluetooth conectado ao dispositivo. O processo é baseado em um padrão de autenticação de código aberto chamado Universal 2nd Factor (U2F), desenvolvido pelo consórcio FIDO. O Google faz parte desse consórcio, junto com empresas como a Microsoft, Mastercard e PayPal. Os tokens de segurança baseados no padrão U2F são disponibilizados por diversos fabricantes por uma pequena taxa. Eles têm se mostrado bastante eficazes. Desde o início do uso de chaves de segurança, o risco de roubo de dados diminuiu significativamente. Em teoria, uma conta on-line pode ser invadida de qualquer lugar do mundo. Porém, um token de segurança físico precisaria estar nas mãos dos ladrões, junto às informações de login da vítima para acessar a conta. Além do Google, várias empresas já têm serviços compatíveis com tokens de segurança.

A autenticação de dois fatores também tem desvantagens. Quem usa códigos por mensagem de texto precisa ter o smartphone à mão ao fazer login em um novo dispositivo. Dongles USB e Bluetooth podem ser perdidos. No entanto, esses problemas não são insuperáveis e certamente valem o risco ao se considerar a segurança extra que eles oferecem. Quem perde a chave de segurança pode remover o token da conta e adicionar um novo. Outra opção é registrar uma segunda chave de segurança desde o início e mantê-la em um lugar seguro.

Para mais informações, acesse:

g.co/2step

Ilustração: Birgit Henne