O que é Autenticação de Dois Fatores (2FA)?
Para quem cresceu na era digital, ter uma senha para acessar qualquer tipo de site ou plataforma na internet é uma ação tão natural quanto acordar todas as manhãs. Mas, hoje em dia, uma senha estática já não é mais o bastante para manter as suas informações seguras contra possíveis ataques digitais, e é aí que entra a Autenticação de Dois Fatores. Como saber se uma senha vazou na Internet? 3 meios para verificar exposições 5 apps gerenciadores de senhas gratuitos e confiáveis Também conhecida apenas como 2FA, a ferramenta funciona como uma camada adicional de proteção da sua identidade no ambiente online, indo além da simples senha que você digita no campo de login. Mas por que apostar nesse tipo de validação? Por um motivo simples: em tempos tão tecnológicos, recursos como a 2FA se fazem necessários como um meio de proteção reforçado para evitar que os seus dados pessoais circulem por aí. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Só para se ter uma noção do perigo, somente em 2025, cerca de 300 milhões de registros pessoais vazaram na dark web, sendo que 49% deles continham senhas, segundo pesquisa da Proton. O Gmail também já sofreu um megavazamento do tipo, com 183 milhões de credenciais expostas. Diante desse cenário, saber como usar a tecnologia para incrementar a sua segurança online também é uma maneira de fugir da mira dos cibercriminosos, que aguardam um deslize seu para aplicar um golpe destrutivo. O Canaltech veio ao resgate para te ajudar a entender como a Autenticação de Dois Fatores funciona e como você pode usá-la para se prevenir. De onde veio o 2FA? Embora tenha ganhado uma maior popularidade nos últimos anos, a 2FA é mais antiga do que você imagina. O conceito existe desde a década de 1980, quando a empresa RSA Security lançou o token de hardware SecurID, em 1986. Considerado o avô do 2FA, o SecurID surgiu como um dispositivo físico que parecia um chaveiro. Sua funcionalidade consistia na exibição de um código numérico temporário que era alterado a cada 60 minutos. O SecurID foi pioneiro no método de autenticação de dois fatores (Imagem: Wikimedia Commons/Ocrho). Na prática, o aparelho funcionava como uma segurança reforçada para empresas e governos no acesso de materiais sensíveis. Isso porque, além de digitar a senha, era necessário inserir o código do SecurID para conseguir entrar nos sistemas internos. A nomenclatura pela qual conhecemos hoje em dia (2FA), porém, levou um tempo para tomar forma devido a uma disputa de patentes envolvendo a empresa de telecomunicações AT&T e o empresário Kim Dotcom, o fundador do Megaupload. Em 1995, a AT&T tentou patentear a ideia de um sistema (um pager ou dispositivo secundário) para confirmar a identidade e, dessa maneira, autorizar uma transação. A patente só foi concedida em 1998, sendo que, um ano antes, Kim Dotcom reivindicou o conceito por trás do 2FA, iniciando uma controvérsia no setor. Apesar do conflito, a patente permaneceu nas mãos da AT&T, que segue como uma das pioneiras do método moderno juntamente com a RSA Security. Os 3 pilares da autenticação Entrando nos conceitos básicos por trás da Autenticação de Dois Fatores, é importante ter em mente os três pilares do recurso. Afinal, para que ele seja considerado uma proteção de “dois fatores”, o sistema precisa unir dois agentes de verificação de categorias diferentes para permitir o acesso seguro a uma conta digital. Assim, para que exista uma autenticação dupla de fatores, a exigência é ter na equação:
Algo que você sabe (knowledge), como uma senha, PIN ou resposta secreta;
Algo que você tem (possession), como um smartphone, token USB ou cartão inteligente;
Algo que você é (inherence), como uma biometria (digital, íris, face) para confirmar a identidade. Como o 2FA funciona? Sem mais delongas, vamos entender agora como a Autenticação de Dois Fatores funciona na prática. Para isso, é preciso compreender a diferença entre HOTP e TOTP, dois algoritmos importantes para a estrutura do método de verificação. A principal distinção entre os dois é a maneira como eles geram o código de uso único (OTP) para concretizar o processo: enquanto o HMAC-based One-Time Password (HOTP) usa um contador (como em tokens antigos), o Time-based One-Time Password (TOTP) usa o tempo. Autenticação de Dois Fatores pode agir com dois algoritmos, HOTP e TOTP (Imagem: Reprodução/Rublon). Na prática, o HOTP permanece válido até que o código seja usado ou o próximo seja gerado, não sendo uma opção tão segura diante das ameaças digitais (embora seja menos complexo). Já o TOTP oferece uma alternativa mais segura, pois o algoritmo gera códigos que expiram automaticamente em um intervalo de tempo determinado, um processo usado pelo Google Authenticator, por exemplo. Para ajudar a compreender melhor, imagine que você precisa ler um QR Code para acessar uma conta. O usuário e o servidor compartilham, então, um “segredo” que contém uma chave criptográfica. Para autenticá-lo, o aplicativo usa a hora atual em união com essa chave para gerar o código, enquanto o servidor faz o mesmo. Se os números coincidirem, o acesso, enfim, é liberado, finalizando uma operação que funciona até mesmo sem internet. Os tipos de 2FA (do mais fraco ao mais forte) Agora que você já sabe como a Autenticação de Dois Fatores funciona, chegou o momento de saber quais são os tipos mais comuns, indo do mais fraco até o mais forte. Veja a seguir:
Fraco: SMS/Voz. Esse é o método mais fraco. A verificação ocorre por meio do envio de mensagem de texto ou chamada para o número de telefone cadastrado. Embora seja melhor do que nada, essa autenticação é mais vulnerável a ataques de SIM swap (“troca de chip”, um golpe em que o criminoso engana a operadora para transferir o número da vítima para um chip sob controle do hacker).
Regular: push notifications. É um método mais seguro do que o SMS/Voz por mostrar mensagens curtas nas notificações. A vulnerabilidade desse processo está na possibilidade de um ataque de MFA Fatigue, quando um cibercriminoso envia spams frequentes para a vítima até que ela se canse e aceite.
Padrão: aplicativos autenticadores. É uma ferramenta padrão para verificação de contas. O Google Authenticator é o exemplo mais conhecido, com o recurso gerando códigos temporários. Ele é mais seguro porque não depende de uma operadora telefônica, barrando a possibilidade de um possível golpe de SIM swap.
Forte: chaves de segurança física. Essa é a autenticação mais segura por apresentar um dispositivo de hardware físico verificado criptograficamente (muitos até exigem biometria), o que impede táticas de phishing comuns de tomarem forma. Alguns exemplos são a YubiKey e Titan. Por que (e como) ele protege? Como você já deve ter percebido, o 2FA não existe à toa. O método de verificação é fundamental para que usuários se protejam de possíveis ameaças digitais. Mas como ele faz isso? Vamos supor que você está diante de um ataque de preenchimento de credenciais, também conhecido como credential stuffing. Caso exista uma Autenticação de Dois Fatores, mesmo que a sua senha vaze durante uma operação criminosa, o hacker não consegue acessar a conta justamente por não ter o segundo fator em mãos. Nesse cenário, também há uma proteção contra o phishing clássico, já que o cibercriminoso precisaria do código em tempo real para conseguir acessar uma conta legítima, caso a vítima acabe digitando uma senha em um site falso. O 2FA protege o usuário de ameaças digitais como phishing (Imagem: Pexels/Ron Lach). Além disso, o 2FA pode impedir que um keylogger roube as suas informações sigilosas, pois, mesmo que o malware grave a sua senha pela digitação, o hacker não concretiza o crime por não ter acesso ao dispositivo físico. Para saber mais sobre phishing e keyloggers, confira duas matérias do Canaltech que trazem detalhes sobre esses ataques: O que é phishing e como se proteger? Keyloggers: o "espião" que grava tudo o que você digita e como se proteger As vulnerabilidades do 2FA Como nada nessa vida é perfeito, o 2FA também tem sua leva de vulnerabilidades que podem ser exploradas por cibercriminosos mais experientes. Veja a seguir duas falhas que podem transformar o usuário em uma vítima, mesmo com o reforço na autenticação de identidade:
Ataques AiTM (Adversary-in-the-Middle): ocorre quando um hacker usa proxies reversos para roubar a senha e até mesmo o código gerado pelo 2FA em tempo real.
Engenharia social: a clássica e velha engenharia social segue como uma ferramenta queridinha dos hackers por apostar no lado psicológico da coisa. Implementando a sensação de urgência e o medo nas vítimas, criminosos podem convencê-las a cair em um golpe, mesmo que o 2FA esteja ativado. Contudo, apesar das vulnerabilidades, é importante destacar que o 2FA é uma ferramenta necessária para trazer mais segurança para movimentações digitais, oferecendo um bloqueio a mais em casos de fraudes, golpes e outros ataques online que podem causar prejuízos milionários às vítimas. Por outro lado, os avanços tecnológicos apontam para um futuro ainda mais seguro com uma autenticação passwordless, onde um dispositivo, seja o celular ou a biometria, possa garantir ações digitais sem que uma senha estática seja necessária, incrementando ainda mais o poder da cibersegurança. Leia também: Google Chrome vai te ajudar a trocar senhas que vazaram Como montar uma senha segura | Guia Prático Como ver a senha do e-mail no celular | Guia Prático Leia a matéria no Canaltech.