Início » Antivírus e Segurança » Como usar autenticação em duas etapas de uma forma menos dolorosa

Como usar autenticação em duas etapas de uma forma menos dolorosa

Por
5 anos atrás

Se você é uma pessoa preocupada com a segurança das suas informações, provavelmente está usando o recurso de autenticação em duas etapas nas contas mais importantes, como no email, especialmente depois das recentes notícias de vazamento de dados.

E, se você for como a maioria dos usuários, talvez esteja usando o famoso aplicativo Google Authenticator para gerar os códigos de verificação, assim como fazem mais de um milhão de pessoas no Android. Não há nenhum problema nisso, mas há uma alternativa que torna mais prático o uso desse recurso: o Authy.

O que é autenticação em duas etapas e por que você deveria usar isso

Pule direto ao que interessa caso você já tenha se convencido de que isso é importante.

A autenticação em duas etapas (ou dois fatores, como preferir) não é uma técnica de segurança nova. No seu banco, além de ter cadastrado uma senha, você provavelmente recebeu um token ou cartão de segurança com dezenas de números diferentes para fazer transações pela internet. A ideia é justamente essa: juntar algo que você sabe, como a sua senha, com algo que você possui, como o seu token.

rsa-sid-700

Como é necessário ter as duas combinações em mãos para fazer transações na sua conta, é difícil que alguém leve todo o seu dinheiro caso você perca apenas a sua senha ou apenas o seu token. O mesmo vale na internet: se algum serviço sofrer com problemas de segurança e vazar senhas de usuários, o que não é raro, seus dados continuarão protegidos caso você esteja usando autenticação em duas etapas.

google-duas-etapas

Boa parte das empresas já oferece autenticação em duas etapas, incluindo Google, Microsoft, Facebook, Dropbox, Evernote, Apple e Twitter. Depois de ativar a proteção adicional (clique nos links para ir direto para a configuração!), você passará a ser obrigado a digitar um código adicional, normalmente de seis dígitos, após passar pela tela de nome de usuário e senha, sempre que usar um computador desconhecido.

Com exceção de Apple e Twitter, os serviços permitem usar um aplicativo como o Google Authenticator, disponível para Android e iPhone, para gerar os códigos de verificação baseados em tempo, que mudam a cada 30 segundos. A maioria oferece ainda a possibilidade de enviar o código por SMS — mas isso não é tão prático porque a mensagem pode demorar para chegar, dependendo do humor da sua operadora.

O processo de configuração com um aplicativo consiste em escanear um QR Code na tela que contém a informação necessária para que o Google Authenticator, Microsoft Authenticator ou outro aplicativo do gênero consiga gerar códigos de verificação específicos para a sua conta. A partir daí, você sempre poderá acessar suas contas caso tenha o smartphone em mãos — caso perca o aparelho, é possível usar códigos de backup fornecidos durante a configuração inicial para recuperar o acesso.

microsoft-dois-passos

Por que eu deixei de usar o Google Authenticator

Eu sei que meu caso é bem específico, mas isso acontece, em menor grau, com todos os que estiverem lendo este texto.

google-auth-cortado

Normalmente estou com um smartphone diferente a cada duas semanas. Tenho um iPhone 5s como aparelho principal, mas a maioria dos smartphones que faço review são Androids — neste exato momento, meu chip está dentro de um Moto G de 2ª geração. O Google Authenticator trazia um inconveniente: se eu estivesse fora de casa e quisesse acessar meus códigos de verificação, precisaria carregar dois smartphones no bolso (o iPhone 5s e outro aparelho), o que não é exatamente prático. Nem seguro.

Além disso, embora eu tenha migrado do Android para o iPhone há quase um ano e esteja bem satisfeito com a plataforma, é claro que sempre existe a possibilidade de fazer o caminho inverso. O problema é que o Google Authenticator não permite migrar facilmente as contas já configuradas de um aparelho para outro (na verdade, nem mesmo entre Androids essa tarefa é trivial). Portanto, uma mudança de plataforma implicaria reconfigurar a autenticação em duas etapas de todas as minhas contas.

E, no caso do iPhone, como não há acesso direto aos arquivos do sistema, a situação é ainda mais delicada, já que não existe uma maneira prática de exportar e importar os dados do Google Authenticator caso eu deseje fazer uma instalação limpa do iOS, por exemplo.

Comprou um smartphone novo? Espere por problemas.

O que o Authy faz de diferente

authy-iphone

authy-sombra

O Authy é um aplicativo que gera códigos de verificação de duas etapas e está disponível para Android, iOS e BlackBerry. O principal diferencial é que seus dados são sincronizados com a nuvem, protegidos com AES-256, então você pode acessá-los em qualquer smartphone ou tablet. Dessa forma, você não precisa se preocupar com gambiarras para fazer backups ou em reconfigurar todas as contas após mudar de aparelho.

Outro detalhe bacana é o aplicativo e a extensão para Chrome, que também sincronizam com a nuvem. Isso significa que, mesmo se você estiver sem o smartphone ou tablet por perto, ainda será possível acessar todos os seus códigos de verificação — basta ter um computador com Chrome, rodando no Windows, OS X ou Linux.

A extensão ainda faz o favor de tornar bem mais prático o processo de configuração da autenticação em duas etapas — em alguns sites, você não precisa mais escanear o QR Code com o celular: o Authy detecta o que você está fazendo, lê o QR Code automaticamente e envia a informação instantaneamente para o aplicativo móvel.

E a interface do Authy é bem mais bonita, mas isso não é exatamente um recurso matador.

Você pode ler mais sobre o Authy e baixar os aplicativos para todas as plataformas no site oficial. Para quem é desenvolvedor, o Authy oferece uma API para implantar o recurso de autenticação em duas etapas em qualquer serviço ou aplicativo. Eles ainda fazem consultoria de segurança para empresas que desejam proteger dados — é a maneira como o Authy faz dinheiro.

Você pode se interessar também