O novo aplicativo Senhas da Apple é apenas tão seguro quanto seu próprio dispositivo: ele pode ser acessado usando o código de acesso do seu telefone.
A autenticação multifator (MFA) se tornou uma necessidade de segurança cibernética para proteger contas on-line. Ele garante que apenas usuários autorizados possam acessar uma conta. No entanto, ao escolher um método de MFA, algumas opções são mais seguras do que outras. Um aplicativo autenticador é mais seguro do que a autenticação por SMS porque ele gera códigos 2FA localmente, o que impede que cibercriminosos interceptem os códigos como podem fazer com o SMS.
Saiba mais sobre aplicativos autenticadores, autenticação por SMS, por que aplicativos autenticadores são mais seguros do que a autenticação por SMS e como configurar um aplicativo autenticador.
O que é um aplicativo autenticador?
Um aplicativo autenticador é um aplicativo utilizado como um método de verificação adicional para a MFA. Ele gera um código localmente no seu dispositivo que você utiliza juntamente com suas credenciais de login para acessar suas contas on-line. Esses códigos de aplicativos autenticadores são conhecidos como senhas de uso único baseadas em tempo (TOTP). As TOTPs são códigos exclusivos de seis a oito dígitos que duram de 30 a 60 segundos. Após a cada 30 a 60 segundos, o aplicativo autenticador gera um novo código TOTP exclusivo baseado em um algoritmo secreto.
Os aplicativos autenticadores funcionam com base no modelo de verificação TOTP. Quando um usuário está configurando a MFA para sua conta, ele pode escolher a TOTP para seu método de MFA. Isso acionará o servidor de conta para criar um código QR para que o aplicativo autenticador digitalize ou uma chave secreta que pode ser inserida manualmente. O código QR e a chave contêm um algoritmo secreto que gera códigos TOTP em tempo real. Após o usuário concluir a configuração do aplicativo autenticador, o aplicativo autenticador e o servidor da conta geram de forma independente o mesmo código simultaneamente.
Quando o usuário tenta fazer login na sua conta, ele insere suas credenciais de login juntamente com o código TOTP do aplicativo autenticador. O servidor de conta verifica o código TOTP do usuário para ver se ele corresponde ao mesmo código que o servidor de conta gerou. Se os códigos corresponderem, o usuário recebe acesso à conta. Se os códigos não corresponderem, o acesso à conta é negado ao usuário.
O que é autenticação por SMS?
A autenticação por SMS é um tipo de método de autenticação que verifica a identidade de um usuário com um código que é enviado para ele por mensagem de texto. Esses códigos são senhas de uso único (OTP) que são geradas para uso único. As OTPs podem durar de 30 segundos a uma hora, e os usuários devem solicitar uma nova OTP após o limite de tempo, se necessário.
Ao criar uma conta, geralmente é solicitado que os usuários forneçam seu número de telefone, que o servidor de conta utiliza para enviar um código OTP. Para acessar sua conta, os usuários devem fornecer suas credenciais de login juntamente com o código OTP que recebem por mensagem de texto. A autenticação por e-mail é o mesmo que a autenticação por SMS, mas ela utiliza um endereço de e-mail em vez de um número de telefone para enviar os códigos OTP.
Por que você deve utilizar um aplicativo autenticador em vez SMS
Você deve utilizar um aplicativo autenticador em vez de autenticação por SMS porque ele é mais seguro e é menos provável que seja interceptado por cibercriminosos. Aplicativos autenticadores geram códigos de 2FA localmente em um dispositivo, em vez de enviá-los não criptografados por mensagem de texto. Os códigos de 2FA em aplicativos autenticadores também mudam a cada 30 a 60 segundos, o que torna difícil para cibercriminosos roubarem.
A autenticação por SMS envia códigos de 2FA não criptografados por mensagem de texto. Códigos SMS de 2FA podem ser facilmente comprometidos por ataques indiretos e troca de SIM.
- Ataque indireto (man-in-the-middle): um tipo de ataque cibernético no qual cibercriminosos interceptam dados transmitidos por uma rede Wi-Fi não criptografada. Se um usuário estiver conectado a uma rede Wi-Fi pública ou fabricada, cibercriminosos podem espionar, roubar ou modificar o tráfego de internet do usuário, incluindo códigos de 2FA.
- Troca de SIM: quando cibercriminosos se passam por uma vítima para convencer uma operadora móvel a ativar um novo cartão SIM com o número de telefone da vítima. Cibercriminosos recebem as mensagens de texto e chamadas telefônicas da vítima, que podem utilizar para roubar códigos SMS de 2FA.
Como os aplicativos autenticadores geram códigos de 2FA localmente, os códigos não podem ser interceptados por cibercriminosos. As únicas maneiras de roubar códigos de 2FA de um aplicativo autenticador é comprometendo o dispositivo com malwares, por meio de engenharia social ou roubando fisicamente o dispositivo, no entanto, esses métodos podem ser utilizados para roubar códigos SMS também. Outra maneira de potencialmente roubar códigos de 2FA de aplicativos autenticadores é roubando o código QR, que é incomum e muito difícil. Os usuários podem proteger facilmente os códigos de 2FA de um aplicativo autenticador protegendo seu dispositivo com um PIN, evitando malwares e engenharia social e mantendo os códigos QR e 2FA escondidos.
Como configurar um aplicativo autenticador
Configurar a MFA com um aplicativo autenticador é fácil. Aqui estão os passos para configurar um aplicativo autenticador:
- Escolha um aplicativo autenticador: nem todos os aplicativos autenticadores são a mesma coisa. Você precisa escolher um aplicativo autenticador que atenda às suas necessidades. Recomendamos utilizar um gerenciador de senhas, pois alguns gerenciadores de senhas podem gerar e armazenar códigos de 2FA em um cofre de senhas digital.
- Baixe o aplicativo autenticador no seu dispositivo: se você estiver utilizando um aplicativo autenticador independente, precisa baixar o aplicativo no seu dispositivo. Você deve baixar o aplicativo autenticador no seu celular para sempre ter acesso a ele.
- Habilite a MFA na sua conta: após baixar o aplicativo autenticador, você precisa fazer login na sua conta e habilitar a MFA. Escolha a configuração que permite utilizar um aplicativo autenticador como seu método de MFA. Sua conta mostra o código QR e a chave secreta com o algoritmo que gera TOTPs.
- Digitalize o código QR ou insira a chave secreta com o aplicativo autenticador: em seguida, você precisa digitalizar o código QR com o aplicativo autenticador ou inserir manualmente a chave secreta, para que o aplicativo autenticador possa gerar os mesmos códigos TOTP que o servidor de conta.
- Pronto para começar: você agora configurou seu aplicativo autenticador como seu método de MFA para sua conta. Da próxima vez que você tentar fazer login na sua conta, você utilizará a TOTP do seu aplicativo autenticador para obter acesso. Você precisará repetir os passos 3 e 4 sempre que tentar configurar a MFA para suas outras contas.
Como os gerenciadores de senhas protegem suas contas com a 2FA integrada
Embora utilizar a autenticação por SMS seja melhor do que não ter a MFA habilitada, você deve utilizar um aplicativo autenticador em vez de autenticação por SMS porque ele é mais seguro. Aplicativos autenticadores são convenientes, seguros e gratuitos, tornando-os uma opção melhor para a MFA.
Você pode utilizar um gerenciador de senhas como seu método de MFA. Alguns gerenciadores de senhas têm aplicativos autenticadores integrados que geram e armazenam códigos de 2FA para suas contas. Utilizar um gerenciador de senhas facilita o login nas suas contas, pois você tem acesso às suas credenciais de login e códigos de 2FA de qualquer dispositivo. Alguns gerenciadores de senhas oferecem um recurso de preenchimento automático que preenche suas credenciais de login e códigos de 2FA ao tentar fazer login.
O Keeper Password Manager tem recursos de aplicativos autenticadores integrados, permitindo gerar códigos de 2FA sempre que você tentar fazer login nas suas contas. Ele também vem com o recurso KeeperFill que preenche automaticamente suas credenciais de login e códigos de 2FA sempre que você tentar fazer login nas suas contas. Inscreva-se para uma avaliação gratuita para proteger suas contas com a MFA forte.