Início » Antivírus e Segurança » Como usar autenticação em duas etapas de uma forma menos dolorosa

Como usar autenticação em duas etapas de uma forma menos dolorosa

Paulo Higa Por

Se você é uma pessoa preocupada com a segurança das suas informações, provavelmente está usando o recurso de autenticação em duas etapas nas contas mais importantes, como no email, especialmente depois das recentes notícias de vazamento de dados.

E, se você for como a maioria dos usuários, talvez esteja usando o famoso aplicativo Google Authenticator para gerar os códigos de verificação, assim como fazem mais de um milhão de pessoas no Android. Não há nenhum problema nisso, mas há uma alternativa que torna mais prático o uso desse recurso: o Authy.

O que é autenticação em duas etapas e por que você deveria usar isso

Pule direto ao que interessa caso você já tenha se convencido de que isso é importante.

A autenticação em duas etapas (ou dois fatores, como preferir) não é uma técnica de segurança nova. No seu banco, além de ter cadastrado uma senha, você provavelmente recebeu um token ou cartão de segurança com dezenas de números diferentes para fazer transações pela internet. A ideia é justamente essa: juntar algo que você sabe, como a sua senha, com algo que você possui, como o seu token.

rsa-sid-700

Como é necessário ter as duas combinações em mãos para fazer transações na sua conta, é difícil que alguém leve todo o seu dinheiro caso você perca apenas a sua senha ou apenas o seu token. O mesmo vale na internet: se algum serviço sofrer com problemas de segurança e vazar senhas de usuários, o que não é raro, seus dados continuarão protegidos caso você esteja usando autenticação em duas etapas.

google-duas-etapas

Boa parte das empresas já oferece autenticação em duas etapas, incluindo Google, Microsoft, Facebook, Dropbox, Evernote, Apple e Twitter. Depois de ativar a proteção adicional (clique nos links para ir direto para a configuração!), você passará a ser obrigado a digitar um código adicional, normalmente de seis dígitos, após passar pela tela de nome de usuário e senha, sempre que usar um computador desconhecido.

Com exceção de Apple e Twitter, os serviços permitem usar um aplicativo como o Google Authenticator, disponível para Android e iPhone, para gerar os códigos de verificação baseados em tempo, que mudam a cada 30 segundos. A maioria oferece ainda a possibilidade de enviar o código por SMS — mas isso não é tão prático porque a mensagem pode demorar para chegar, dependendo do humor da sua operadora.

O processo de configuração com um aplicativo consiste em escanear um QR Code na tela que contém a informação necessária para que o Google Authenticator, Microsoft Authenticator ou outro aplicativo do gênero consiga gerar códigos de verificação específicos para a sua conta. A partir daí, você sempre poderá acessar suas contas caso tenha o smartphone em mãos — caso perca o aparelho, é possível usar códigos de backup fornecidos durante a configuração inicial para recuperar o acesso.

microsoft-dois-passos

Por que eu deixei de usar o Google Authenticator

Eu sei que meu caso é bem específico, mas isso acontece, em menor grau, com todos os que estiverem lendo este texto.

google-auth-cortado

Normalmente estou com um smartphone diferente a cada duas semanas. Tenho um iPhone 5s como aparelho principal, mas a maioria dos smartphones que faço review são Androids — neste exato momento, meu chip está dentro de um Moto G de 2ª geração. O Google Authenticator trazia um inconveniente: se eu estivesse fora de casa e quisesse acessar meus códigos de verificação, precisaria carregar dois smartphones no bolso (o iPhone 5s e outro aparelho), o que não é exatamente prático. Nem seguro.

Além disso, embora eu tenha migrado do Android para o iPhone há quase um ano e esteja bem satisfeito com a plataforma, é claro que sempre existe a possibilidade de fazer o caminho inverso. O problema é que o Google Authenticator não permite migrar facilmente as contas já configuradas de um aparelho para outro (na verdade, nem mesmo entre Androids essa tarefa é trivial). Portanto, uma mudança de plataforma implicaria reconfigurar a autenticação em duas etapas de todas as minhas contas.

E, no caso do iPhone, como não há acesso direto aos arquivos do sistema, a situação é ainda mais delicada, já que não existe uma maneira prática de exportar e importar os dados do Google Authenticator caso eu deseje fazer uma instalação limpa do iOS, por exemplo.

Comprou um smartphone novo? Espere por problemas.

O que o Authy faz de diferente

authy-iphone

authy-sombra

O Authy é um aplicativo que gera códigos de verificação de duas etapas e está disponível para Android, iOS e BlackBerry. O principal diferencial é que seus dados são sincronizados com a nuvem, protegidos com AES-256, então você pode acessá-los em qualquer smartphone ou tablet. Dessa forma, você não precisa se preocupar com gambiarras para fazer backups ou em reconfigurar todas as contas após mudar de aparelho.

Outro detalhe bacana é o aplicativo e a extensão para Chrome, que também sincronizam com a nuvem. Isso significa que, mesmo se você estiver sem o smartphone ou tablet por perto, ainda será possível acessar todos os seus códigos de verificação — basta ter um computador com Chrome, rodando no Windows, OS X ou Linux.

A extensão ainda faz o favor de tornar bem mais prático o processo de configuração da autenticação em duas etapas — em alguns sites, você não precisa mais escanear o QR Code com o celular: o Authy detecta o que você está fazendo, lê o QR Code automaticamente e envia a informação instantaneamente para o aplicativo móvel.

E a interface do Authy é bem mais bonita, mas isso não é exatamente um recurso matador.

Você pode ler mais sobre o Authy e baixar os aplicativos para todas as plataformas no site oficial. Para quem é desenvolvedor, o Authy oferece uma API para implantar o recurso de autenticação em duas etapas em qualquer serviço ou aplicativo. Eles ainda fazem consultoria de segurança para empresas que desejam proteger dados — é a maneira como o Authy faz dinheiro.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

disqus_vgivD32KtT
O Authy já foi o melhor do ramo, porem hoje é o app para passar dor de cabeça, pois ao ser reinstalado apos uma formatação ele trava sua conta e os apps vinculados a ela, pedindo uma senha que não existe. O Authy não contem um serviço de suporte(interno ou externo) portanto não é possível solicitar um novo código. Repito hoje é um app que você pode acabar se incomodando ao utilizar.
avinicius
Não consegue entrar na conta do Authy?
avinicius
E o fato do Google Authenticator apenas armazenar localmente gera um problema imenso caso você perca o acesso ao celular.
avinicius
Authy é da Twilio, uma empresa que disponibiliza serviço de sms e ligações para empresas como Netflix, Airbnb, Coca Cola e muitas outras.

https://customers.twilio.com/
Afrânio Costa
Troquei de Android para IOS e agora não consigo acessar algumas contas.
Como faço para conseguir fazer as autenticações? Não está funcionando.
Sergio Monteiro
Paulo Higa, pra mim o tecnoblog é o melhor site de informações de informática e tecnologia do Brasil e gosto especialmente dos artigos que você escreve ( para mim são os melhores ). Qualquer dica sua eu levo sempre em consideração. Hoje vi um vídeo no youtube em que a pessoa dizia que achava o Google mais seguro pela questão das das chaves não ficarem guardadas nos servidores da empresa como no Authy, mas vi que é criptografado, teoricamente eles teriam como quebrar/burlar a criptografia? Você confia no Authy, realmente ele é mais seguro e superior que o Google Autenticador? Obrigado
Waldir Santos
boa noite, tive que formatar meu celular android e tinha o authy instalado para entrar na blockchain, baixei o aplicativo e instalei novamente, só que não consigo mais usar pois quando entro no blockchain ele pede o codigo mas o authy não configura até o final pois pede o código qr ou manualmente para acionar e não consigo, alguem sabe o que fazer? não tinha configurado backup
Inadepto
Nossa.. a conta do Google é uma desgraça pra recuperar qualquer coisa ... Se vc esquecer q senha e tentar recuperar o código por email, depois q digita os numeros recebe a mensagem: O login não foi realizado, porque o Google não conseguiu confirmar se [email protected] pertence a você. Mas como se é o email cadastrado e eu consegui acessá-lo? Vc fica preso nessa burrice sem fim.
Da Homie M.G.
Nossa.. a conta do Google é uma desgraça pra recuperar qualquer coisa ... Se vc esquecer q senha e tentar recuperar o código por email, depois q digita os numeros recebe a mensagem: O login não foi realizado, porque o Google não conseguiu confirmar se [email protected] pertence a você. Mas como se é o email cadastrado e eu consegui acessá-lo? Vc fica preso nessa burrice sem fim.
NoobIsrael
Passei a usar o Authy no Lastpass, pois o Google Authenticator tem o problema citado na matéria, agora estou mais tranquilo.
andregui7
A matéria não explica o que é autenticação em duas etapas.
NoobIsrael
Bela dica, passei a usar esse app no Lastpass.
Augusto M. Garrucho
Aí ferrou... Normalmente essa galera fornece um código de recuperação, caso perca o autenticador. Sem nenhum dos dois não há absolutamente nada a se fazer.

Daí a vantagem em se usar o Authy. Eles guardam suas chaves nos servidores deles...

Agora ferrou. :(
Milena Pekin
Ola Paulo, tudo bem?! Preciso tirar uma dúvida ..
Eu fui assaltada no dia 16/07 e levaram meu celular .. ai que a porcaria ficou completa .. eu tinha instalado o autenticador google lá, e nele tinha 3 senhas de jogos .. agora eu perdi tudo as chaves .. você acha que é possivel recuperar? se tem alguma maneira de extrair as chaves que estavam no outro cel , para o cel novo e para assim poder gerar outros codigos??

To bloquiada de entrar no jogo, ja enviei email e as caralhada a 4 e eles falaram que não há possibilidade de remover o aut, só eu mesma.
Marcelo Boccia
A pergunta é posso configura-lo para o google e EA ???
Danilo Rigo
Consigo sincronizar o token com a infra estrutra de AD da empresa?
willdourado
Formatei o celular e perdi uma conta ja configurada no google authenticator, como eu posso recuperar?
Will Dourado
Formatei o celular e perdi uma conta ja configurada no google authenticator, como eu posso recuperar?
ronaldo
troquei meu numero de celular e nao consigo acessar o Mercado Livre pra liberar grana, pq nao tenho mais o authy que esta vinculado ao numero antigo. Está retida e nao consigo nem enviar email para la pq eles nao possuem. Terei de recorrer à justiça. (?)
Janaina
Tive problema com esse programa em um golpe no mercado livre!
Daniel Lucena
Valeu o trabalho, agora está tudo devidamente arrumado!
Daniel Serodio
Não entendi direito como funciona esse do Chrome, mas acho que o fato de usar Bluetooth torna mais seguro, porque se eu saio de perto do computador, ele perde a conexão Bluetooth e desabilita a integração com o Mac. É uma forma de autenticação de dois fatores (2FA).
Daniel Serodio
Consigo sim. Às vezes não consegue se conectar ao celular, mas aí é só escolher "Make discoverable" no app do celular e tentar conectar de novo no Mac que funciona
Comment
Usava um S4...passei para o Moto X e voltei agora para o S4. Não tive problema algum no uso do Google Authenticator.
Fraga
Usava um S4...passei para o Moto X e voltei agora para o S4. Não tive problema algum no uso do Google Authenticator.
Rodrigo Silva Barretos
Apanhei um pouco para poder fazer a configuração inicial dela, visto que minha operadora querida não me envia os SMS na hora e nem completa muitas das ligações que fazem pra mim. Instalei ele ontem e só consegui usá-lo hoje ¬¬
Mas enfim... o app é muito bom mesmo (bonito, alias). Mas por hora só tenho 2-Steps Athentication na conta Google... preciso ativar nos outros serviços.
Jorge Luis
O servidor do serviço é seguro espera-se.. senão..
Vitor Mikaelson
Tem para WP tbm.
Keaton
Ainda tem o WinAuth para Windows (desktop)...
(Sim, a preguiça de procurar o celular/tablet é muita.)
Rodrigo Cerqueira
Acabei de fazer tudo manualmente. Nem sabia dessa dificuldade de recuperação dos dados em caso de perda do aparelho. Bom, agora já estou resguardado. Valeu Higa!
Diogo
Funciona, a questão é que na hora de ativar a autenticação em dois passos e escolher "Android", ele irá te levar para o app da Microsoft. É só escolher a opção "Outro" quando ele perguntar pelo sistema. Inclusive dá pra usar as duas opções ao mesmo tempo, o app da Microsoft (ótimo por sinal) e o Authy/Google Autenticator.
Diogo Nóbrega
Funciona, a questão é que na hora de ativar a autenticação em dois passos e escolher "Android", ele irá te levar para o app da Microsoft. É só escolher a opção "Outro" quando ele perguntar pelo sistema. Inclusive dá pra usar as duas opções ao mesmo tempo, o app da Microsoft (ótimo por sinal) e o Authy/Google Autenticator.
Diogo
Eu procurei aqui, eles possuem uma app pra Android, por acaso lançado dia 25 de Agosto. Mas aparentemente não tem suporte a outras contas.
Diogo Nóbrega
Eu procurei aqui, eles possuem uma app pra Android, por acaso lançado dia 25 de Agosto. Mas aparentemente não tem suporte a outras contas.
Augusto M. Garrucho
Eita! Há dois dias adotei a 2-step auth em todos serviços que me eram relevantes - coisa que nunca havia feito por pura preguiça... Mas sequer tinha imaginado esse problema, de trocar de aparelho ou qualquer coisa que seja.


Que aplicação caprichada, bonita e completa! Veio em boa hora (apesar de que precisei reconfigurar a galera toda, mas isso foi fácil).


Aliás, bem que o Google poderia já ter implantado algo legal pra isso no Authenticator, não?
Christian Hartung
Acho que só tem para Android.
Paulo Higa
Configura como se fosse Google Authenticator (o algoritmo é exatamente o mesmo) que dá.
Paulo Higa
Isso é o custo para os desenvolvedores implantarem autenticação em duas etapas com a API do Authy. Como isso envolve fazer ligações ou enviar SMS automáticos, os caras têm que cobrar. :-P
Marcos Tony Lehmann
"Normalmente estou com um smartphone diferente a cada duas semanas. Tenho
um iPhone 5s como aparelho principal, mas a maioria dos smartphones que
faço review são Androids — neste exato momento, meu chip está dentro de
um Moto G de 2ª geração."
Paulo, nenhuma vez, dentre as tantas em que testa diferentes aparelhos, não te bateu aquela sensação de 'Putz, esse é melhor que o meu...".
bielperes
Daniel, você consegue usar o app no Mavericks?
Gabriel Peres de Oliveira
Daniel, você consegue usar o app no Mavericks?
Juan Lourenço
Não funciona pra conta Microsoft? Poxa, achei que ia conseguir centralizar tudo
Junior Riedi
aqui diz isso!
"Two Factor Authentication
$0.15 per user + $0.05 per successful authentication.
Free 30 days trial. No credit card required."
oO
Diogo
Mas o app da Microsoft tem pra Android? E funciona com outras contas?
Diogo Nóbrega
Mas o app da Microsoft tem pra Android? E funciona com outras contas?
gilbras
Tnks!
Paulo Higa
Não.
gilbras
Não achei a informação.
O app/serviço tem alguma cobrança?
Bruno Barbosa
O app da conta da microsoft é muito bom. Se o celular estiver online aparece no app automaticamente a opção aprovar ou não aprovar quando tentam acessar sua conta (e-mail, onedrive,xbox ... ) se o celular não estiver conectado aí sim usamos códigos...
Rodolpho Freire
miss windows phone ...

Continuando a usar o Authenticator
Paulo Higa
Acho que não. Eu reconfigurei tudo manualmente. Mas, pensando pelo lado bom, você só vai fazer isso uma vez. :-P
Daniel Lucena
O problema é migrar tudo do google authenticator, alguma solução?
Paulo Higa
Esse app para Mac é bem bacana mesmo, mas ele foi meio que jogado para escanteio depois que o Authy lançou o aplicativo e a extensão para Chrome — neles, não precisa nem do Bluetooth, e funciona em qualquer sistema.
Daniel Serodio
Vocês esquerecem de comentar do aplicativo nativo pra Mac, que fica no menu bar, se conecta com o celular via Bluetooth e permite copiar o token gerado pro clipboard. Muito bom.