Veja por que as pessoas estão dizendo que a autenticação de dois fatores não é perfeita

Quando a autenticação de dois fatores foi introduzida pela primeira vez, ela revolucionou a segurança do dispositivo e ajudou a tornar o roubo de identidade muito mais difícil – ao pequeno custo de pequenos inconvenientes adicionados aos logins.

Mas não é perfeito, nem resolveu todos os nossos problemas de hackers e roubo de dados. Algumas notícias recentes forneceram mais contexto sobre como os hackers estão evitando a autenticação de dois fatores e corroendo parte de nossa confiança nela.

Autenticação de dois fatores em um laptop.

O que exatamente é a autenticação de dois fatores?

A autenticação de dois fatores adiciona uma camada extra de segurança ao processo de login para dispositivos e serviços. Anteriormente, os logins tinham um único fator de autenticação – normalmente, uma senha ou um login biométrico, como digitalização de impressão digital ou Face ID, ocasionalmente com a adição de perguntas de segurança. Isso forneceu alguma segurança, mas estava longe de ser perfeito, especialmente com senhas fracas ou senhas preenchidas automaticamente (ou se os bancos de dados de login forem invadidos e essas informações começarem a aparecer na dark web).

A autenticação de dois fatores resolve esses problemas adicionando um segundo fator, outra coisa que uma pessoa precisa fazer para garantir que realmente seja ela e que ela tenha autoridade para acessar. Normalmente, isso significa receber um código por meio de outro canal, como receber uma mensagem de texto ou e-mail do serviço, que você precisa inserir.

Exemplo de autenticação dupla.

Alguns usam códigos sensíveis ao tempo (TOTP, senha de uso único com base em tempo) e alguns usam códigos exclusivos associados a um dispositivo específico (HOTP, senha de uso único com base em HMAC). Certas versões comerciais podem até usar chaves físicas adicionais que você precisa ter à mão.

O recurso de segurança tornou-se tão comum que você provavelmente está acostumado a ver mensagens do tipo “Enviamos um e-mail com um código seguro para inserir, verifique seu filtro de spam se não o recebeu”. É mais comum para novos dispositivos e, embora demore um pouco, é um grande salto na segurança em comparação com os métodos de um fator. Mas existem algumas falhas.

Isso soa bem seguro. Qual é o problema?

Um relatório saiu recentemente da empresa de segurança cibernética Sophos que detalhou uma nova maneira surpreendente de os hackers estarem pulando a autenticação de dois fatores : cookies. Os maus atores estão “roubando cookies”, o que lhes dá acesso a praticamente qualquer tipo de navegador, serviço da web, conta de e-mail ou até mesmo arquivo.

Como esses cibercriminosos obtêm esses cookies? Bem, a Sophos observa que o botnet Emotet é um desses malwares que roubam cookies e visam dados nos navegadores Google Chrome. As pessoas também podem comprar cookies roubados em mercados clandestinos, que ficaram famosos no recente caso da EA, onde os detalhes de login foram parar em um mercado chamado Genesis. O resultado foram 780 gigabytes de dados roubados que foram usados ​​para tentar extorquir a empresa.

Embora esse seja um caso de alto perfil, o método subjacente está disponível e mostra que a autenticação de dois fatores está longe de ser uma bala de prata. Além do roubo de cookies, há vários outros problemas que foram identificados ao longo dos anos:

  • Se um hacker obteve seu nome de usuário ou senha para um serviço , ele pode ter acesso ao seu e-mail (especialmente se você usar a mesma senha) ou número de telefone. Isso é especialmente problemático para autenticação de dois fatores baseada em SMS/texto, porque os números de telefone são fáceis de encontrar e podem ser usados ​​para copiar seu telefone (entre outros truques) e receber o código de texto. Dá mais trabalho, mas um hacker determinado ainda tem um caminho claro a seguir.
  • Aplicativos separados para autenticação de dois fatores, como Google Auth ou Duo, são muito mais seguros, mas as taxas de adoção são muito baixas. As pessoas tendem a não querer baixar outro aplicativo apenas para fins de segurança para um único serviço, e as organizações acham muito mais fácil simplesmente perguntar “E-mail ou texto?” em vez de exigir que os clientes baixem um aplicativo de terceiros. Em outras palavras, os melhores tipos de autenticação de dois fatores não estão realmente sendo usados.
  • Às vezes, as senhas são muito fáceis de redefinir. Os ladrões de identidade podem coletar informações suficientes sobre uma conta para ligar para o atendimento ao cliente ou encontrar outras maneiras de solicitar uma nova senha. Isso geralmente contorna qualquer autenticação de dois fatores envolvida e, quando funciona, permite aos ladrões acesso direto à conta.
  • Formas mais fracas de autenticação de dois fatores oferecem pouca proteção contra estados-nação. Os governos têm ferramentas que podem facilmente combater a autenticação de dois fatores, incluindo monitorar mensagens SMS, coagir operadoras sem fio ou interceptar códigos de autenticação de outras maneiras. Isso não é uma boa notícia para aqueles que querem maneiras de manter seus dados privados de regimes mais totalitários.
  • Muitos esquemas de roubo de dados ignoram inteiramente a autenticação de dois fatores, concentrando-se em enganar os humanos. Basta olhar para todas as tentativas de phishing que fingem ser de bancos , agências governamentais, provedores de internet etc., solicitando informações importantes da conta. Essas mensagens de phishing podem parecer muito reais e podem envolver algo como “Precisamos do seu código de autenticação para que também possamos confirmar que você é o titular da conta” ou outros truques para obter códigos.

Devo continuar usando a autenticação de dois fatores?

Absolutamente. Na verdade, você deve acessar seus serviços e dispositivos e habilitar a autenticação de dois fatores onde estiver disponível. Ele oferece segurança significativamente melhor contra problemas como roubo de identidade do que um simples nome de usuário e senha.

Mesmo a autenticação de dois fatores baseada em SMS é muito melhor do que nenhuma. De fato, o Instituto Nacional de Padrões e Tecnologia uma vez recomendou contra o uso de SMS na autenticação de dois fatores, mas voltou atrás no ano seguinte porque, apesar das falhas, ainda valia a pena.

Quando possível, escolha um método de autenticação que não esteja conectado a mensagens de texto e você terá uma melhor forma de segurança. Além disso, mantenha suas senhas fortes e use um gerenciador de senhas para gerá-las para logins, se puder.

As configurações de segurança e privacidade são abertas em um MacBook.

Como a autenticação de dois fatores pode ser melhorada?

Afastar-se da autenticação baseada em SMS é o grande projeto atual. É possível que a autenticação de dois fatores faça a transição para um punhado de aplicativos de terceiros como o Duo , que remove muitos dos pontos fracos associados ao processo. E mais campos de alto risco serão movidos para MFA, ou autenticação multifator, que adiciona um terceiro requisito, como uma impressão digital ou perguntas de segurança adicionais.

Mas a melhor maneira de remover problemas com a autenticação de dois fatores é introduzir um aspecto físico baseado em hardware. Empresas e agências governamentais já estão começando a exigir isso para determinados níveis de acesso. Em um futuro próximo, há uma boa chance de que todos tenhamos cartões de autenticação personalizados em nossas carteiras, prontos para deslizar em nossos dispositivos ao fazer login nos serviços. Pode parecer estranho agora, mas com o aumento acentuado dos ataques de segurança cibernética , pode acabar sendo a solução mais elegante.