Senha 
Quando se trata de gerenciadores de senhas, existem alguns equívocos comuns, como pensar que eles são arriscados demais para serem confiáveis, que os fornecedores são incapazes
Publicado em dezembro 20, 2023
Uma senha de uso único é um código numérico gerado automaticamente que pode ser utilizado apenas uma vez. As senhas de uso único servem para autenticar os usuários antes que possam acessar uma conta ou sistema, e são geralmente utilizadas como uma forma de autenticação multifator (MFA, Multi-Factor Authentication) para adicionar fatores de verificação a uma conta. Muitas empresas, como instituições financeiras, enviam aos usuários senhas de uso único para verificar sua identidade antes de conceder acesso a contas e informações confidenciais.
Continue lendo para saber mais sobre senhas de uso único, como elas diferem das senhas de uso único baseadas em tempo (TOTP, Time-based One-Time Passwords) e como você pode começar a recebê-las.
OTP versus TOTP: qual é a diferença?
A principal diferença entre uma senha de uso único (OTP) e uma senha de uso único baseada em tempo (TOTP) é que a OTP é um termo genérico utilizado para se referir aos diferentes tipos de senhas de uso único, enquanto a TOTP é um tipo específico de senha de uso único.
Uma senha de uso único baseada em tempo é um código gerado automaticamente que é válido apenas por um determinado período, sendo utilizado para verificar a identidade de um usuário. Normalmente, os códigos TOTP são válidos apenas por 30 a 60 segundos. Após a expiração de um código TOTP, um novo é gerado e ele pode ser utilizado apenas dentro do prazo pelo qual é válido.
Quais são os tipos de senhas de uso único e como elas funcionam?
Há dois tipos principais de senhas de uso único: TOTP e HOTP. A maneira como funcionam depende do tipo de senha de uso único que você utiliza.
Como a TOTP funciona
As senhas de uso único baseadas em tempo funcionam pelo usuário primeiro escanear um código QR fornecido pelo servidor da conta utilizando um aplicativo autenticador dedicado ou um gerenciador de senhas que suporte códigos TOTP. O escaneamento do código QR fornece ao aplicativo autenticador um algoritmo secreto que o servidor também compartilha. Um código de seis dígitos é gerado a cada 30 a 60 segundos. Como alternativa, o usuário também pode inserir uma chave secreta para configurar a TOTP.
Quando o usuário faz login na conta com a TOTP habilitada, ele deve inserir o código de seis dígitos fornecido pelo aplicativo autenticador antes de expirar. Quando um usuário insere o código TOTP a tempo, ele pode fazer login com sucesso na sua conta.
Como a HOTP funciona
As senhas de uso único baseadas em hash (HOTP) utilizam um fator diferente da TOTP para determinar um código chamado Código de autenticação de mensagem baseado em hash (HMAC, Hash-based Message Authentication Code). A HOTP é baseada em contador, em vez de baseado em tempo, porque ela determina o código contando o número de vezes que o código é solicitado.
Os códigos HOTP são válidos até que sejam utilizados ou um novo código HOTP seja solicitado.
Benefícios de utilizar senhas de uso único
Há dois benefícios principais em utilizar senhas de uso único: evitar o comprometimento de conta e proteger contra os ataques por repetição.
Senhas de uso único ajudam a evitar o comprometimento da conta
As senhas de uso único, como qualquer outro método de MFA, protegem suas contas on-line contra comprometimento, mesmo que alguém tenha acesso às suas credenciais de login. Um relatório de pesquisa da Microsoft descobriu que a MFA pode bloquear mais de 99,9% dos ataques de comprometimento de conta.
Aqui está um exemplo: digamos que o nome de usuário e a senha de uma de suas contas on-line foram expostos em uma violação de dados públicos e um cibercriminoso obtenha essas credenciais violadas. Como ele sabe a qual conta as credenciais pertencem, ele tenta fazer login nessa conta. No entanto, após inserir as credenciais no portal de login, ele é solicitado a fornecer o código de uso único exibido no seu gerenciador de senhas.
Como o cibercriminoso não tem acesso ao seu gerenciador de senhas, ele não poderá fornecer o código de uso único, o que significa que não poderá fazer login na sua conta.
Senhas de uso único podem protegê-lo contra ataques por repetição
Um ataque por repetição, também chamado de ataque de reprodução ou playback, é um tipo de ataque cibernético no qual os cibercriminosos espionam a sua rede e interceptam os dados trocados para poderem atrasar ou repetir os dados mais tarde. Quando um cibercriminoso intercepta os dados com sucesso, ele também rouba o ID da sessão do cliente para que ele se pareça com um cliente válido na rede.
O que torna as senhas de uso único tão seguras é que elas podem ser utilizadas apenas uma vez. Portanto, mesmo que um cibercriminoso possa utilizar um ataque de repetição para interceptar suas credenciais de login de uma de suas contas, a senha de uso único que você inseriu seria inválida para que ele fosse reutilizado.
Como receber uma senha de uso único
Você pode começar a receber senhas de uso único habilitando-as nas configurações de segurança de cada uma de suas contas on-line. Ao habilitar senhas de uso único em uma conta, será perguntado como deseja recebê-las. A seguir apresentaremos algumas das opções.
Observação: nem todos os sites suportam o uso de senhas de uso único como uma forma de MFA.
- Mensagem de texto SMS: a escolha desta opção permitirá que você receba seus códigos OTP por mensagem de texto. Embora isso seja conveniente, essa é a maneira menos segura de receber suas senhas de uso único devido aos ataques de trocas de SIM.
- Chamada telefônica: a escolha desta opção permitirá que você receba códigos OTP por meio de uma chamada telefônica. Essa opção OTP também é suscetível a ataques de troca de SIM.
- E-mail: a escolha desta opção significa que você receberá um código OTP por e-mail. No entanto, os e-mails são contas visadas, de modo que caso seu e-mail for comprometido, um cibercriminoso poderá obter o código OTP.
- Aplicativo autenticador: a escolha desta opção significa que você precisará baixar um aplicativo separado no seu celular, como o Google Authenticator. Os códigos gerados pelos aplicativos autenticadores são baseados em tempo, de modo que você precisará inseri-los antes que expirem. Alguns gerenciadores de senhas, como o Keeper®, também vêm com uma opção para gerar as senhas de uso único para suas contas.
Proteja suas contas com senhas fortes e OTP
Juntas, senhas fortes e senhas de uso único ajudam a manter suas contas on-line protegidas contra comprometimento. Cada conta on-line deve ter uma senha exclusiva e forte que nunca é reutilizada e não contém palavras ou frases comuns do dicionário.
A melhor maneira de garantir que você sempre use senhas fortes é usar um gerador de senhas para criá-las. Muitos gerenciadores de senhas possuem geradores de senhas integrados para ajudá-lo a criar senhas fortes para cada uma de suas contas, além de armazená-las com segurança para você. Além de uma senha forte, suas contas também devem ter senhas de uso único ou outro método de MFA habilitado.
O Keeper Password Manager ajuda você a manter suas contas seguras, auxiliando na criação e no armazenamento de suas senhas e senhas de uso único. Comece a proteger suas contas on-line com o Keeper iniciando uma avaliação gratuita de 30 dias.
