Autenticação de dois fatores será que ainda é seguro?

Novo vírus brasileiro de celular pode ler WhatsApp e roubar senha do banco
02/09/2019
Vazamento de dados por empresas pode custar caro
O que fazer se você for hackeado
17/01/2020

Via: https://www.itforum365.com.br/colunas/autenticacao-de-dois-fatores-sera-que-ainda-e-seguro/

Para contas em aplicativos e serviços na internet, usar apenas senhas pode não ser o suficiente para proteção, mas o preocupante é que a autenticação de dois fatores pode estar com seus dias contados.

Sim, a autenticação de dois fatores é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comum o uso no dia a dia, é um recurso opcional oferecido por diversos serviços na internet, como webmail, redes sociais, internet banking, armazenamento em nuvem e aplicativos; mas não podemos mais nos iludir simplesmente achando que a verificação da identidade oficial do usuário pode ter este fator adicional de proteção (2FA) de forma infalível.

Até então muitos acham que somente as senhas podem ser facilmente descobertas através de páginas falsas, engenharia social, por observação se não forem bem elaboradas, ou computadores e dispositivos infectados por vírus e softwares maliciosos; e que ao habitar uma proteção adicional, estão aumentando consideravelmente a segurança da conta e consequentemente será mais difícil de ser invadida, pois o invasor precisa saber a sua senha na primeira etapa e as informações da segunda etapa, como por exemplo as respostas secretas para perguntas, códigos gerados por tokens, número PIN etc.

Isso nem sempre é verdade!

Há cinco anos, em 2014, o Canaltech já havia noticiado que por meio de engenharia social e brechas de segurança encontradas em sistemas de terceiros, hackers conseguiram quebrar aquela que, até então, era considerada a única maneira totalmente segura de garantir que ninguém, jamais, acessaria sua conta.

O relato na época foi feito pelo designer Grant Blakeman. Para ele, os pedidos não solicitados de reset de senha no Instagram eram algo comum. De acordo com o notícia, ele era dono de uma conta altamente visada no serviço, que possui apenas as iniciais “gb” como login. A simplicidade fez com que ele se acostumasse a receber mensagens do tipo quase que diariamente. Como seu perfil na rede estava ligado ao Gmail e sua conta no Google, ele acreditava que a autenticação em duas etapas o manteria seguro de invasões.

Normalmente se recebe a verificação desta segunda etapa por e-mail, SMS ou chamada de voz. É um código individual criado pelo serviço e enviado apenas ao usuário. No site ello.co Grant detalha a maneira pela qual ela acha ter sido hackeado.

Aparentemente, os criminosos conseguiram ativar um redirecionamento de chamadas em seu celular, enviando mensagens e ligações para outro aparelho que estava de posse deles. Assim, puderam receber o código de acesso à conta do Google e, dessa maneira, tomar controle do Instagram.

Recentemente, logo após o natal 2019, o site Olhar Digital publicou uma notícia, com o título “Grupo hacker chinês consegue burlar autenticação de dois fatores”. A informação é de que um grupo de Hackers com suposta ligação ao governo Chinês, é acusado de invadir redes e computadores em todo o mundo.

Na mídia veiculada na internet, o texto informa que usaram um token baseado em software para modificar as chaves de acesso de diversos sistemas e que a grande diferença desta vez é que eles conseguiram burlar facilmente a autenticação de dois fatores no processo.

Este tipo de notícia vai de ações simples, na qual cibercriminosos conseguem o acesso enviando falsos alertas de segurança que pedem aos destinatários que forneçam suas segundas senhas; até e-mails falsos criados para que se pareçam com os enviados por grandes players, como Google, Yahoo e Microsoft; até ações muito elaboradas como esta relatada pelo Olhar Digital onde não se sabe ao certo como a ação foi feira, o processo envolvido é um pouco complicado, mas ao que tudo indica, o grupo de hackers chineses encontrou uma nova forma de contornar a etapa de segurança.

O ponto positivo é que embora seja preocupante o fato de que a autenticação de dois fatores possa estar com seus dias contados, principalmente porque o 2FA é mantido regularmente como uma das maneiras mais seguras de evitar ataques e invasões como estas; estes casos não significam que a autenticação dupla é uma furada, pelo contrário, ela ainda é um dos sistemas de proteção mais seguros em vigor.

O fato é que muitos usuários usam a mesma senha para todas as suas contas e o 2FA aumenta significativamente a segurança solicitando um fator de autenticação adicional, tornando muito mais difícil o hackeamento de uma conta.

O ponto negativo é que mesmo sendo a autenticação de dois fatores um dos avanços mais elogiados na segurança online, estas questões mostram mais uma vez que não há sistemas a prova de falhas e que não há 100% de garantia de proteção. Especialistas, criminosos ou não, podem sim conseguir acesso à sua conta mesmo com tal barreira colocada diante deles.

Mesmo assim, use-a!

Segurança adicional nunca é demais, então use-a. A 2FA está atrelada a algo que você sabe (geralmente uma senha ou a resposta para uma pergunta de segurança), algo que você tem (um código de segurança enviado ao seu celular ou cartão ATM) e algo que você é (dados biométricos, como suas impressões digitais). Faça uso!

× WhatsApp