O dobro da segurança

Uma tentativa de pirataria de dados bem-sucedida pode ter consequências desagradáveis. Houve casos em que atacantes desconhecidos usaram as contas das vítimas para trolar em nome do utilizador nas redes sociais ou enviar emails fraudulentos. Outras pessoas viram dinheiro desaparecer das suas contas bancárias online. Muitas vezes, as pessoas só reparam que as suas contas foram pirateadas depois de o mal estar feito.

Um dos motivos para o roubo de dados ocorrer repetidamente é o facto de a maioria dos utilizadores confiarem demasiado nas suas palavras-passe para os proteger no mundo online. As pessoas não sabem que há listas online com milhões de combinações de nomes de utilizador e palavras-passe. Estas "password dumps", como os especialistas chamam às listas, são reunidas a partir de dados obtidos em várias ocorrências bem-sucedidas de roubo de dados. Como muitas pessoas usam as palavras-passe para várias coisas, os seus dados de início de sessão das Contas Google também podem ser encontrados nestas "password dumps", mesmo que as suas contas não tenham sido efetivamente pirateadas. Outra ameaça constante é o phishing, ou seja, tentativas fraudulentas de obter palavras-passe e outras informações através de emails ou Websites aparentemente fidedignos.

É por isso que empresas como a Google recomendam que os utilizadores protejam a sua conta online através da autenticação de dois fatores, a qual envolve a apresentação de dois fatores distintos para iniciar sessão, como uma palavra-passe e um código enviado por mensagem de texto. Este método de autenticação tornou-se muito comum, especialmente para bancos e empresas de cartões de crédito.

Os especialistas em segurança distinguem entre três tipos básicos de fatores de segurança. O primeiro é uma informação ("algo que sabe"): por exemplo, um utilizador recebe um código através de mensagem de texto para o introduzir, ou tem de responder a uma pergunta de segurança. O segundo é um objeto físico ("algo que tem") que pode ser usado para autenticação, como um cartão de crédito. O terceiro consiste em dados biométricos ("algo que é"), como quando os utilizadores de smartphones desbloqueiam o ecrã com a sua impressão digital. Todas as estratégias de autenticação de dois fatores usam uma combinação de dois destes diferentes fatores.

A Google oferece vários tipos de autenticação de dois fatores. Juntamente com a palavra-passe tradicional, os utilizadores podem introduzir um código de segurança único que recebem por mensagem de texto ou chamada de voz, ou que geram na app Google Authenticator, disponível no Android e no iOS, o sistema operativo para dispositivos móveis da Apple. Os utilizadores também podem indicar uma lista de dispositivos fidedignos na sua Conta Google. Se um utilizador tentar iniciar sessão a partir de um dispositivo que não faz parte da lista, recebe um aviso de segurança da Google.

Nos últimos três anos, a Google tem também oferecido aos seus utilizadores a opção de usar um token de segurança físico, chamado chave de segurança. Trata-se de um dongle USB, NFC ou Bluetooth que tem de ser ligado ao dispositivo em questão. O processo baseia-se num padrão de autenticação aberto chamado Universal 2nd Factor (U2F), desenvolvido pelo consórcio FIDO. A Google faz parte desse consórcio, juntamente com empresas como a Microsoft, a Mastercard e o PayPal. Os símbolos de segurança baseados no padrão U2F estão disponíveis de vários fabricantes por uma pequena taxa. Provaram ter muito sucesso: desde a introdução das chaves de segurança, o risco de roubo de dados diminuiu significativamente. Embora, teoricamente, uma conta online possa ser pirateada a partir de qualquer parte do mundo, um token de segurança físico tem de estar efetivamente nas mãos dos ladrões (que também precisariam dos detalhes de início de sessão das suas vítimas para aceder à conta). Além da Google, várias empresas já aceitam estes tokens de segurança.

Naturalmente, a autenticação de dois fatores também tem as suas desvantagens. As pessoas que usam códigos enviados por mensagem de texto devem ter o telemóvel à mão quando iniciam sessão a partir de um novo dispositivo. Além disso, os dongles USB e Bluetooth podem ser perdidos. Contudo, estes não são problemas insuperáveis, e vale certamente a pena o risco quando se considera a segurança adicional que oferecem. Qualquer pessoa que perca a sua chave de segurança pode remover o token perdido da conta e adicionar um novo. Outra opção é registar uma segunda chave de segurança desde o início e mantê-la num local seguro.

Para mais informações, visite: g.co/2step

Ilustração: Birgit Henne