A autenticação em dois fatores é uma camada extra de segurança que é bastante útil para evitar roubo de identidade virtual ou phishing. O comum é usar o número de telefone, que, por suas vez, recebe um SMS que, posteriormente, deve ser digitado para assegurar que é o dono da conta quem está fazendo o acesso. O Google quer tornar isso mais fácil tirando o SMS da jogada e usando um smartphone com sistema Android como chave de segurança.

Como já falamos, usar o SMS para verificação em dois fatores pode ter alguns problemas, inclusive pode facilitar o golpe de SIM Swap. Então, pelo menos nesse caso, o Google define como critério ter um smartphone rodando o Android 7 Nougat ou superior para a tarefa.

Depois de configurar seu smartphone como chave de segurança (o que ensinamos mais abaixo), além da senha para efetuar login em serviços Google, a pessoa deverá autorizar o acesso em seu smartphone. É importante que o dispositivo esteja fisicamente perto do smartphone, pois a chave de segurança se comunica com o Chrome por meio de Bluetooth. O Google usa autenticação de dois protocolos (FIDO e Webauthn) para verificar que o usuário está no site certo e que não está sendo enganado por uma página falsa.

Na prática, isso impede que golpistas consigam enganar as pessoas com sites que se parecem com os originais, além de assegurar que você só conseguirá fazer login com o smartphone ao seu lado — um cibercrminoso, mesmo que tenha seu login e senha, não conseguirá entrar.

Para configurar, é necessário ter um smartphone Android ou um computador com Bluetooth e o Chrome instalado. Na sequência, siga os passos abaixo:

  1. Faça login na sua conta do Google no smartphone Android e ative o Bluetooth;
  2. No seu computador, acesse myaccount.google.com/security;
  3. Selecione a verificação em duas etapas;
  4. Clique em “Adicionar uma chave de segurança”;
  5. Escolha seu telefone na lista de dispositivos disponíveis.

O Google recomenda a configuração de pelo menos duas chaves de segurança. A precaução da empresa é para que, caso a pessoa perca o smartphone, ela tenha uma outra forma de se conectar.

Gif de funcionamento de um telefone Android como chave de segurançaAlém da senha ao fazer login, o usuário deverá usar o celular para confirmar seu acesso. Crédito: Google

Num primeiro momento, o recurso só funcionará com serviços do Google, mas nada impede que num futuro próximo o smartphone possa ser usado para efetuar login em outros serviços.

Infelizmente, não vai ser dessa vez que vamos nos livrar em definitivo das senhas. No entanto, por ora, já é possível ter um sistema mais sofisticado de proteção.

No ano passado, o Google falava de um dongle, chamado Titan, que funcionava como uma chave de segurança física para e-mail e outros serviços. Com o anúncio de hoje, temos uma versão dessa chave no smartphone. Bem melhor e não precisa gastar uma grana a mais para ficar mais seguro. Só é preciso perder um pouco de tempo, mas, até aí, tudo bem perder um pouco de tempo em vez de uma grana 50 num pendrive.

[Verge e Google]