How to: Ativar a Autenticação De Dois Fatores

A autenticação de dois fatores (ou "2FA") é uma forma de tornar suas contas on-line mais seguras, acrescentando um requisito de prova adicional ("fator") além da sua senha ao fazer login. Isso pode ser algo que sabe (como uma senha ou PIN), algo que tem (como uma chave de segurança ou um telefone celular) ou algo que está ligado a você ou é inseparável de você (como sua impressão digital ou fisionomia).

Você provavelmente já usa a 2FA em algumas partes da sua vida. Ao usar um caixa eletrônico para sacar dinheiro, é necessário ter o seu cartão bancário físico (algo que você tem) e o seu PIN (algo que você sabe). A 2FA para serviços on-line usa a mesma lógica básica.

Como a 2FA funciona on-line? anchor link

Muitos serviços on-line, inclusive o Facebook (bem como Instagram e WhatsApp), Apple, Google, X, Reddit, WeChat, Telegram e TikTok, oferecem a 2FA como alternativa à autenticação somente por senha. Depois de ativá-la, será solicitado a fornecer uma senha e um método secundário de autenticação.

Esse método secundário pode ser uma de várias coisas: uma mensagem SMS, um código rotativo gerado por um aplicativo autenticador, uma notificação automatica ou um dispositivo USB (chamado de chave de segurança).

Um aplicativo autenticador gera códigos rotativos de seis dígitos que são específicos para cada site que você registrou nele. Muitas empresas criam aplicativos autenticadores móveis gratuitos, como o Google Authenticator e o Authy. Alguns gerenciadores de senhas também funcionam como um aplicativo autenticador, portanto, não há razão para que você precise pagar por um. Os aplicativos 2FA normalmente usam senhas de uso único baseadas em tempo (TOTP), senhas numéricas exclusivas geradas por um algoritmo. Isso significa que elas são de uso único e válidas apenas por um curto período de tempo. De fato, a maioria dos aplicativos 2FA mostra um relógio de contagem regressiva, geralmente de 30 segundos, indicando quando o código será alterado. Nesses casos, o segundo fator é o seu telefone celular, algo que (normalmente) possui.

Também pode encontrar a "autenticação de dois fatores baseada em notificação automatica", que é comum com empregadores e serviços como Duo ou Okta, mas também pode já tê-la usado com uma conta do Google, da Apple ou da Microsoft. Ela também é popular em serviços de jogos, como Steam e Blizzard. Com a 2FA baseada em notificacao automatica, o serviço pode enviar um aviso para um de seus dispositivos durante o login. Esse aviso indicará que alguém (possivelmente você) está tentando fazer login e um local estimado para a tentativa de login. Você pode então aprovar ou negar a tentativa.

Um segundo fator também pode ser outro dispositivo físico que você compra separadamente, chamado de chave de segurança. As chaves de segurança são conectadas ao seu computador ou telefone por meio de USB ou se conectam a telefones sem fio com NFC. Assim como os aplicativos mencionados acima, você os registra em um site e não pode fazer login nesse site sem fornecer a chave. As chaves de segurança são a forma mais forte de autenticação de dois fatores, mas não são tão amplamente aceitas nos sites quanto as outras opções.

Depois de optar por usar a 2FA, precisará digitar sua senha e, em seguida, o segundo fator - o código enviado por SMS ou gerado em seu aplicativo 2FA, ou uma chave de segurança - para fazer login na sua conta.

Por que devo ativar a 2FA? anchor link

A 2FA oferece maior segurança para sua conta. Mesmo que alguém consiga obter sua senha, não poderá acessar sua conta, a menos que também tenha seu telefone celular ou outro meio secundário de autenticação. Isso é particularmente importante, porque violações de dados que incluem senhas de usuários são uma ocorrência comum. Os sites são violados o tempo todo e revelam a senha e o nome de usuário de alguem. A 2FA não é uma alternativa ao uso de senhas fortes e exclusivas, mas pode oferecer uma pequena camada extra de segurança caso alguém tenha conseguido inserir seu nome de usuário e senha em um site diferente.

Além disso, a autenticação de chave de segurança 2FA e a autenticação de chave de acesso são efetivamente à prova de phishing, porque a chave não funcionará em um site para o qual não esteja registrada. Mas esse não é o caso de outras formas de 2FA, como códigos gerados em aplicativos ou por mensagens SMS. Nos últimos anos, os ataques de phishing se tornaram sofisticados o suficiente para solicitar códigos de 2FA, contra os quais os aplicativos de SMS e autenticadores não têm proteção.

Há desvantagens no uso da 2FA? anchor link

Embora a 2FA ofereça um meio mais seguro de autenticação, há um risco maior de bloqueio de sua conta. Por exemplo, se você perder seu telefone, mudar seu número de telefone ou viajar para um país sem ativar o roaming, poderá perder o acesso às suas contas. Isso também se aplica às chaves de segurança, que podem ser mais fáceis de perder do que um telefone.

Muitos serviços 2FA fornecem uma pequena lista de códigos de "backup" ou "recuperação" de uso único. Cada código funciona exatamente uma vez para fazer login na sua conta e não pode mais ser usado depois disso. Se você estiver preocupado com a possibilidade de perder o acesso ao seu telefone ou a outro dispositivo de autenticação, imprima e leve esses códigos com você. Eles ainda funcionarão como "algo que tem", desde que faça apenas uma cópia e a mantenha por perto. Lembre-se de manter os códigos seguros e de assegurar que ninguém mais os veja ou tenha acesso a eles em nenhum momento. Se usar ou perder seus códigos de recuperacao, poderá gerar uma nova lista na próxima vez que conseguir fazer login na sua conta.

Alguns aplicativos móveis 2FA resolvem esse problema oferecendo a opção de fazer copia de seguranca das informações que geram os códigos de uso único. Assim, se perder o telefone, poderá fazer a copia de seguranca. Para a maioria das pessoas, fazer a copia de seguranca dos códigos de autenticação é uma boa ideia. Mas talvez você prefira não fazer copia de seguranca dos códigos de autenticação se estiver preocupado com a segurança do serviço em que faz a copia de seguranca e se tiver certeza de que não perderá ou quebrará o telefone. Se os ativar, verifique a documentação do aplicativo para garantir que ele use criptografia de ponta a ponta para essas copias.

A 2FA por SMS é melhor do que nada, mas tem problemas em potencial porque as mensagens por SMS não são muito seguras. É possível que um invasor sofisticado que tenha acesso à rede telefônica (como uma agência de inteligência ou uma operação do crime organizado) intercepte e use os códigos enviados por SMS. Também houve casos em que um invasor menos sofisticado (como um indivíduo) conseguiu encaminhar chamadas ou mensagens de texto destinadas a um número para o seu próprio número, ou acessou serviços de empresas telefônicas que mostram mensagens de texto enviadas para um número de telefone sem precisar ter o telefone. A troca de SIM também é um problema em potencial, que ocorre quando alguém transfere seu número de telefone para um dispositivo que ele controla, enganando sua operadora de celular (ou sendo um insider). Depois de fazer isso, a pessoa pode acessar qualquer código 2FA por SMS ou, pior ainda, redefinir a senha por SMS. A Comissão Federal de Comércio tenta dissuadir empresas de usar a 2FA baseada em SMS.

Quando possível, opte por usar um aplicativo autenticador, uma chave de acesso ou uma chave de segurança em vez de SMS.  Também deve verificar com sua operadora de celular se ela oferece algumas ferramentas de proteção contra a troca de SIM. Pode ser um PIN ou uma senha verbal que você precisa fornecer ao ligar para o suporte ao cliente para fazer alterações.

Além disso, usar a autenticação de dois fatores baseada em SMS significa que pode estar fornecendo mais informações a um serviço do que se sente confortável. Suponha que use o TikTok e tenha se inscrito usando um pseudônimo . Mesmo que evite cuidadosamente fornecer ao TikTok suas informações de identificação e mesmo que acesse o serviço somente pelo Tor ou por uma VPN, se ativar a autenticação de dois fatores por SMS, o TikTok terá necessariamente um registro do seu número de celular. Isso significa que, se for obrigado por um tribunal, o TikTok poderá vincular sua conta a você por meio de seu número de telefone. Isso pode não ser um problema para você, especialmente se já usa seu nome legal em um determinado serviço, mas se a manutenção do seu anonimato for importante, pense duas vezes antes de usar a 2FA por SMS.

Mesmo depois de ativar a 2FA, certifique-se de usar um gerenciador de senhas para criar senhas fortes e exclusivas. Consulte nosso guia de criação de senhas fortes para obter dicas.

E que tal as Chaves de Acesso (Passkeys)? anchor link

As chaves de acesso são uma opção mais recente para fazer login que oferece toda a segurança da 2FA, com muito menos problemas. Uma chave de acesso é composta de aproximadamente 100 a 1400 bytes de dados aleatórios, gerados em seu dispositivo (como telefone, laptop ou chave de segurança) com a finalidade de fazer login em um site específico. Ela não é uma senha nem uma 2FA, mas pode substituir ambas funcionalmente.

Em vez de exigir que digite sua senha e um código, as chaves de acesso incorporam um segundo fator. Toda vez que você usar a chave de acesso para fazer login, o navegador ou o sistema operacional poderá solicitar que você insira novamente o PIN de desbloqueio do dispositivo. Se você usar uma impressão digital ou reconhecimento facial para desbloquear o dispositivo, o navegador poderá solicitar que você insira novamente a impressão digital ou mostre o rosto para confirmar que é realmente você que está solicitando o login. Isso proporciona dois fatores de autenticação: o dispositivo que armazena sua chave de acesso é algo que você tem e é acompanhado por algo que sabe (o PIN) ou algo que é (uma impressão digital ou fisionomia).

Se você já estiver usando a 2FA em um determinado site, uma chave de acesso será muito mais conveniente e poderá ser mais segura. Os métodos de 2FA por SMS ou aplicativo autenticador são vulneráveis a ataques de phishing, pois um site falso pode solicitar o código de uso único e passá-lo para o site real junto com a sua senha falsa. As chaves de acesso são mais seguras do que a 2FA por SMS ou aplicativo autenticador porque não são vulneráveis a phishing. Seu navegador sabe exatamente qual site corresponde a qual senha e não é enganado por sites falsos.

Como faço para ativar a 2FA? anchor link

Observação: se você ainda não configurou um gerenciador de senhas e começou a usar senhas exclusivas para cada site, faça isso primeiro. O uso de senhas exclusivas para cada site já ajuda muito por si só.

A ativação da 2FA difere de plataforma para plataforma, assim como a terminologia usada. Uma extensa lista de sites que suportam a 2FA está disponível em https://2fa.directory/.  O plano de segurança de cada pessoa tem necessidades diferentes, e nem todos os sites oferecerão opções para diferentes formas de 2FA, mas quando você tiver a opção de escolher, pense em cada tipo de 2FA nesta ordem:

• As chaves de acesso são robustas e fáceis de usar (quando funcionam corretamente), mas ainda são uma nova tecnologia que nem sempre é oferecida e que pode causar soluços no processo de login quando não implementadas corretamente, o que é frustrante para solucionar problemas.
• As chaves de segurança são muito fortes, mas podem ser incômodas de usar, pois sempre precisa ter a chave física com você.
• A autenticação baseada em notificação automatica oferece segurança média e é fácil de usar, mas só está disponível para um pequeno número de serviços da Web e, como não é padronizada, pode significar que você acabará com vários aplicativos autenticadores diferentes no seu telefone.
• A autenticação por aplicativo autenticador/TOTP é muito comum hoje em dia e oferece um nível médio de segurança, mas pode ser incômodo copiar/colar códigos entre aplicativos, especialmente em dispositivos móveis.
• O SMS oferece o nível mais baixo de segurança, pode ser incômodo de usar em algumas circunstâncias (ou impossível se você não tiver serviço móvel), mas ainda é melhor do que nada se for a única opção oferecida.

Depois que você se aprofundar nas configurações da conta e encontrar a opção de ativar a 2FA, geralmente precisará realizar mais uma etapa para concluir o processo. O modo como isso funciona também depende do tipo de 2FA que você está usando e do próprio site, mas normalmente é assim:

• Se você optar por usar uma chave de acesso, o site criará e armazenará uma chave de acesso no dispositivo em que você a criou (como seu telefone ou laptop). Você precisará ter esse dispositivo específico à mão para fazer login com essa chave de acesso, embora alguns gerenciadores de senhas sincronizem a chave de acesso entre dispositivos. Muitos serviços também continuarão a exigir um nome de usuário e senha, portanto, talvez seja necessário usar outra forma de 2FA por enquanto.
• Se optar por uma chave de segurança, você precisará inserir a chave, confirmar que deseja criar uma credencial (isso depende da chave em si, mas normalmente significa tocar na chave ou pressionar um botão nela) e, em seguida, seguir as instruções para concluir a vinculação à sua conta. Observe que alguns sites exigem uma segunda forma de 2FA como backup quando você usa uma chave de segurança, portanto, talvez seja necessário configurá-la primeiro.
• Se você usar um aplicativo autenticador móvel, precisará digitalizar um código QR na tela do computador com o telefone. Depois disso, o telefone começará a gerar códigos rotativos, e você terá de inserir um desses códigos para provar que concluiu o processo com êxito.
• Se ativar o SMS, você receberá um código que deverá ser digitado para concluir o processo de ativação da 2FA.

O processo de ativação da 2FA pode ser intimidor no início, mas você pode facilitar as coisas dividindo-o em projetos menores.

Comece com suas contas de e-mail. Como a maioria dos serviços permite a redefinição de senha por e-mail, qualquer pessoa que se apodere do seu endereço pode fazer redefinições de senha para acessar outros serviços, portanto, esse é o serviço mais importante a ser protegido primeiro. Em seguida, configure-o para qualquer serviço que faça backup de seus arquivos, como uma conta da Apple, do Google ou da Microsoft. Depois disso, as redes sociais e os aplicativos de comunicação devem ser os próximos a serem protegidos em sua prioridade. A partir daí, pode verificar a lista no site do diretório 2FA para procurar os sites que você usa.