O Twitter liberou na semana passada a autenticação em dois passos, se juntando a um crescente grupo de empresas de tecnologia que usam este importante recurso de segurança. A verificação em duas etapas pode ajudar a diminuir os danos de roubo de senhas ou ataques de phishing.
O princípio vem da ideia de que qualquer sistema de autenticação – seja a fechadura da porta da sua casa, a tela de bloqueio do seu smartphone ou a segurança em um clube secreto – funciona ao confirmar algo que você sabe, algo que você tem, e algo que você é. Cada um desses é chamado “fator”.
Logins normais checam apenas se você sabe a senha, o que significa que qualquer pessoa que saiba consegue entrar como se fosse você. Adicionar um segundo fator – neste caso, checar algo que você tem, o telefone – significa que mesmo que a sua senha seja comprometida, sua conta está segura.
Isso é importante porque phishing, que é uma das formas mais comuns de se roubar senhas, só pega informação do password. Exija um fator diferente, e os ataques de phishing se tornam muito mais complicados e menos efetivos.
Um exemplo de autenticação em dois fatores no mundo offline são os cartões de banco. Normalmente, você precisa tanto do cartão quanto de um PIN para fazer um saque. Autenticação em dois fatores online levam o mesmo conceito a seus serviços e dispositivos.
Conforme se tornam mais populares, esses sistemas também ficaram mais simples; não precisa ser uma difícil tarefa para a conveniência da segurança. Veja abaixo como ativar a autenticação de dois fatores no Twitter, Google, Facebook, Dropbox, Apple, e Microsoft.
O Twitter chamou seu sistema de autenticação em dois passos de “Verificação de Login”, e seu anúncio incluiu um guia de como usar. Na sua página de configurações de conta, você precisa dar apenas um clique para ativar o recurso:
Infelizmente, por enquanto o Twitter só dá suporte a autenticação por SMS, o que causa dois problemas. O primeiro é que você precisa vincular o seu número de telefone à conta, e se você não tiver um serviço seguro ou confiável, é melhor não usar. E, no Brasil, apenas duas operadoras têm acordo para mensagens SMS com o Twitter – TIM e Nextel. Clientes de outras empresas não podem ativar a medida de segurança.
O Google foi um dos primeiros grandes serviços a adotar a verificação em dois passos. Tem uma página que explica o básico do recurso, e uma página de configurações para todos os seus serviços do Google.
Como muitas pessoas usam apps e dispositivos sem suporte a autenticação em dois passos para se conectar a serviços do Google, é importante entender também o sistema de password único do Google.
O app Google Authenticator, que está disponível para iOS, Android e BlackBerry, pode gerar códigos de login para vários serviços (incluindo Facebook, Dropbox e Microsoft) e é uma escolha popular.
Dropbox
O Dropbox tem um tutorial bem claro de como ativar a autenticação em dois fatores dentro do site, e tem suporte a autenticação via SMS ou qualquer outro app popular. Você pode ativar a opção na área de segurança da sua conta, e ele vai exigir o código sempre que você tentar entrar no Dropbox em um novo dispositivo ou computador.
O Facebook chama sua autenticação em dois passos de “Aprovação de Login” e permite que você use um app para gerar códigos quando estiver offline. Você pode ativar na área de segurança da sua conta – e enquanto você está lá, é bom rever as outras opções naquela página.
Por mais que o Facebook só tenha suporte oficial para códigos de seus próprios apps móveis, clicar em “Com problemas?” vai mostrar uma chave que você pode entrar com outro app de autenticação, como o do Google.
Apple
A verificação em dois passos da Apple pode ser usada para impedir que Apple IDs sejam usadas sem autorização em novos dispositivos, ou para evitar mudanças nas informações da sua conta. Só é compatível com dispositivos que têm suporte a SMS ou notificações do Find My iPhone, e por enquanto não está disponível no Brasil – só nos Estados Unidos, Austrália, Irlanda e Nova Zelândia.
Microsoft
A Microsoft é uma novata no mundo da autenticação em dois passos, liberando a opção no mês passado. É uma adição bem-vinda, considerando que a mesma conta da Microsoft pode acessar o Outlook, Xbox, Surface e o Skype. Você pode ativar na área de “Informações de segurança” da sua página de configurações.
Também há um app de autenticação para Windows Phone, e o sistema da Microsoft é compatível com outros apps como o do Google.
Republicado da Electric Frontier Foundation sob licença Creative Commons.