Regularmente ouvimos e lemos histórias de roubos a bases de dados de passwords, ataques de phishing, malware que recolhe tudo o que escreve com o seu teclado e até dispositivos que copiam cartões de crédito instalados em caixas Multibanco ou nos terminais de pagamento em lojas.

Para os que aprendem melhor ouvindo, recomendamos o podcast que criámos dedicado ao tema, aqui.

O que é uma autenticação de dois factores?

Nota: é frequente encontrar também referências a verificação em dois passos ou autenticação multifator.

A autenticação de dois fatores, por definição, é o processo de validar a identidade de alguém confirmando duas de três possibilidades de identificação:

• Algo que conhece - uma password, um código, uma frase ou um PIN.
• Algo que possui - o seu telemóvel, um token, um smartcard ou um cartão com chip.
• Algo pessoal - impressão digital, padrão da íris ou da retina, padrão de voz, estrutura óssea ou características semelhantes.

A autenticação de dois fatores, funciona exigindo que dois destes três fatores sejam corretamente utilizados para conceder acesso a um sistema ou website. Assim, mesmo que alguém se apodere da sua password ("algo que conhece"), não conseguirá aceder à sua conta a menos que consiga fornecer um dos outros dois fatores ("algo que possui" ou "algo pessoal").

 

Por exemplo, na Sophos utilizamos tokens seguros com códigos rotativos de seis dígitos para aceder remotamente a sistemas internos. Cada vez que pretendemos criar uma sessão VPN, necessitamos de fornecer um nome de utilizador, uma password e o código de seis dígitos associado a um PIN.

Em casa, muitos utilizamos métodos semelhantes para acedermos a muitos recursos online e pessoais. No último ano, muitas redes sociais, incluindo o Facebook, Twitter e LinkedIn, adicionaram formas de autenticação de dois fatores.

Muitos destes sites empregam um método de verificação por código enviado via SMS ("algo que possui"), e que terá que ser corretamente introduzido juntamente com a password ("algo que conhece"). No entanto, a disponibilidade do serviço de comunicações móveis e a natureza insegura das SMS podem dificultar o processo.

Alguns serviços permitem utilizar uma app de autenticação para além da password, que apresenta um código numérico único para cada serviço registado com essa app. Tanto a loja da Google como do Windows disponibilizam gratuitamente estas apps, que podem ser uma excelente opção para iniciar sessões em sites como o Google, Facebook e Twitter, mesmo quando o seu telemóvel não tenha serviço móvel ativo.

A app de autenticação da Google, pode ser utilizada para fornecer uma segurança adicional através de ligações SSH. No entanto não deixam de poder ocorrer problemas. Existe muito malware para Android em circulação, especificamente desenvolvido para roubar códigos de verificação por SMS e tentar contornar a autenticação de dois fatores.

Esta é uma das razões pela qual é recomendada a utilização de uma app de segurança eficaz para Android, como a que a Sophos disponibiliza gratuitamente na Google Play Store.

A autenticação online tradicional tem sido dependente da password (algo que conhece), e existem vários problemas com esta abordagem:

• Uma password é, por definição, um segredo "partilhado" que deve fornecer à organização para o identificar. Embora seja possível fazê-lo em segurança, muitas vezes não terá possibilidade de verificar se foi transmitida ou guardada de forma segura.
• Alguém que o observe, seja através da utilização de malware furtivo que monitorize a utilização do seu teclado ou mesmo de uma câmara, pode desvendar o seu segredo.
• Geralmente temos dificuldade em memorizar palavras-passe difíceis de adivinhar, o que nos leva tanto a reutilizar as mesmas passwords em várias contas, como a definir passwords pouco complexas para facilitar a sua memorização.

Idealmente, ao exigir algo físico juntamente com algo presente na sua mente, reduzirá significativamente o risco de alguém se fazer passar por si.

Como em tudo o resto, não vivemos num mundo perfeito e a autenticação de dois fatores tem as suas falhas. No entanto, talvez concorde que é uma enorme evolução e que os dias das passwords com oito caracteres já passaram.

Algo que conhece

Parece óbvio, correto? Mas não necessita ser uma password. De facto, preferimos aquilo a que chamamos passphrase. Embora os conceitos sejam semelhantes, password sugere apenas uma única palavra, mas numa passphrase o tamanho importa. Julgamos muito mais eficaz algo do género "SoNosOs2", "Tu_E_Eu" ou "ApenasNosDois", em vez de "Princesa123".

Outra forma de utilizar algo que conhece, é um PIN. Não é da nossa preferência, mas dependendo do cenário pode funcionar muito bem. As caixas Multibanco são uma forma de autenticação de dois fatores que utiliza o PIN.

A autenticação baseada em padrões é um terceiro tipo de fator do seu conhecimento. Os utilizadores de dispositivos com Windows 8 ou Android, podem utilizar este método como alternativa à sua password tradicional.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.