O dobro da segurança

A autenticação de dois fatores pode ajudar os utilizadores a protegerem-se melhor online. A Conta Google oferece várias opções

Uma tentativa de pirataria de dados bem-sucedida pode ter consequências desagradáveis. Existiram casos em que os atacantes usaram as contas das vítimas para trolar em nome do utilizador nas redes sociais ou enviar emails fraudulentos. Outras pessoas viram o dinheiro desaparecer das contas bancárias online. Muitas vezes, as pessoas só reparam que as contas foram pirateadas depois do mal estar feito.

Um dos motivos para o roubo de dados ocorrer repetidamente é o facto de a maioria dos utilizadores confiarem demasiado nas suas palavras-passe para os proteger no mundo online. As pessoas desconhecem a existência de listas online com milhões de combinações de nomes de utilizador e palavras-passe. Estas "password dumps", como os especialistas lhes chamam, são elaboradas a partir de dados obtidos em várias ocorrências bem-sucedidas de roubo de dados. Como muitas pessoas usam as palavras-passe para várias coisas, os seus dados de início de sessão das Contas Google também podem ser encontrados nestas "password dumps", mesmo que as contas não tenham sido efetivamente pirateadas. Outra ameaça constante é o phishing, ou seja, tentativas fraudulentas de obter palavras-passe e outras informações através de emails ou Websites aparentemente fidedignos.

É por isso que empresas como a Google recomendam que os utilizadores protejam a sua conta online através da autenticação de dois fatores, a qual envolve a apresentação de dois fatores distintos para iniciar sessão, como uma palavra-passe e um código enviado por mensagem de texto. Este método de autenticação tornou-se muito comum, especialmente para bancos e empresas de cartões de crédito.

Os especialistas em segurança distinguem três tipos básicos de fatores de segurança. O primeiro é uma informação ("algo que sabe"): por exemplo, um utilizador recebe um código através de mensagem de texto para o introduzir, ou tem de responder a uma pergunta de segurança. O segundo é um objeto físico ("algo que tem") que pode ser usado para autenticação, como um cartão de crédito. O terceiro consiste em dados biométricos ("algo que é"), como quando os utilizadores de smartphones desbloqueiam o ecrã com a sua impressão digital. Todas as estratégias de autenticação de dois fatores usam uma combinação de dois destes fatores.

A Google oferece vários tipos de autenticação de dois fatores. Juntamente com a palavra-passe tradicional, os utilizadores podem introduzir um código de segurança único que recebem por mensagem de texto ou chamada de voz, ou que geram na app Google Authenticator, disponível no Android e no iOS, o sistema operativo para dispositivos móveis da Apple. Os utilizadores também podem indicar uma lista de dispositivos fidedignos na sua Conta Google. Se um utilizador tentar iniciar sessão a partir de um dispositivo que não faz parte da lista, recebe um aviso de segurança da Google.

Nos últimos três anos, a Google também tem oferecido aos utilizadores a opção de usar um símbolo de segurança físico, chamado chave de segurança. Trata-se de um dongle USB, NFC ou Bluetooth que tem de ser ligado ao dispositivo em questão. O processo baseia-se num padrão de autenticação aberto chamado Universal 2nd Factor (U2F), desenvolvido pelo consórcio FIDO. A Google faz parte desse consórcio, juntamente com empresas como a Microsoft, a Mastercard e a PayPal. Estão disponíveis símbolos de segurança baseados no padrão U2F, de vários fabricantes, por um pequeno valor. Provaram ter muito sucesso: desde a introdução das chaves de segurança, o risco de roubo de dados diminuiu significativamente. Embora, teoricamente, uma conta online possa ser pirateada a partir de qualquer parte do mundo, um símbolo de segurança físico tem de estar efetivamente nas mãos dos ladrões (que também precisam dos detalhes de início de sessão das suas vítimas para aceder à conta). Além da Google, várias empresas já suportam estes símbolos de segurança.

Naturalmente, a autenticação de dois fatores também tem as suas desvantagens. As pessoas que usam códigos enviados por mensagem de texto devem ter o telemóvel à mão quando iniciam sessão a partir de um novo dispositivo. Além disso, os dongles USB e Bluetooth podem perder-se. Contudo, estes problemas não são intransponíveis, e vale a pena o risco quando se considera a segurança adicional que oferecem. Qualquer pessoa que perca a sua chave de segurança pode remover o símbolo perdido da conta e adicionar um novo. Outra opção é registar uma segunda chave de segurança desde o início e mantê-la num local seguro.

Para mais informações, consulte:

g.co/2step

Ilustrações: Birgit Henne

Avanços na cibersegurança

Saiba como mantemos mais pessoas seguras online em todo o mundo do que qualquer outra empresa.

Saiba mais