A autenticação de dois fatores (2FA) representa uma das estratégias mais robustas para salvaguardar o acesso às suas contas digitais. Se ainda nutre dúvidas sobre a sua importância, observe os dados impressionantes divulgados pela Microsoft.
Números Concretos
Em fevereiro de 2020, a Microsoft apresentou um estudo na Conferência RSA, intitulado “Quebrando as dependências de senhas: desafios no estágio final na Microsoft”. Esta apresentação detalhou as complexidades da proteção de contas de usuários. Mesmo para os menos interessados na parte técnica, as estatísticas reveladas foram notáveis.
A Microsoft acompanha mensalmente mais de 1 bilhão de contas ativas, um número que se aproxima de 1/8 da população global. Este volume gera cerca de 30 bilhões de tentativas de login todos os meses. Cada acesso a uma conta corporativa do O365 pode originar múltiplas entradas em vários aplicativos, além de outras tentativas em plataformas que utilizam o O365 para login único.
Embora esses números sejam consideráveis, é vital notar que a Microsoft bloqueia diariamente 300 milhões de tentativas de login fraudulentas. Isso demonstra a constante ameaça que paira sobre as contas online.
Em janeiro de 2020, 480.000 contas da Microsoft (o equivalente a 0,048% do total) foram comprometidas por ataques de “pulverização”. Essa técnica envolve a tentativa de utilizar uma senha comum, como “Primavera2020!”, em uma vasta lista de contas, com a esperança de que algumas delas a utilizem.
Os ataques de “pulverização” são apenas uma das formas de invasão; milhares de outras são executadas por meio do “preenchimento de credenciais”. Nesse método, os invasores compram nomes de usuário e senhas na dark web e os testam em outras plataformas.
Além disso, existe o “phishing”, onde os invasores induzem você a fazer login em um site falso para roubar sua senha. Esses são os métodos mais utilizados para “hackear” contas online, no sentido comum do termo.
Em janeiro, mais de 1 milhão de contas da Microsoft foram comprometidas. Embora sejam cerca de 32.000 contas por dia, esse número é inferior às 300 milhões de tentativas de login fraudulentas que são interrompidas diariamente.
O dado mais relevante é que 99,9% das violações de contas da Microsoft poderiam ter sido evitadas se a autenticação de dois fatores estivesse ativada.
O Conceito da Autenticação de Dois Fatores
A autenticação de dois fatores (2FA) adiciona uma camada extra de segurança ao exigir um método de autenticação adicional, além do nome de usuário e senha. Geralmente, esse método envolve um código de seis dígitos enviado via SMS ou gerado por um aplicativo. Este código é necessário durante o processo de login.
A 2FA é uma forma de autenticação multifator (MFA), que também inclui outros métodos, como tokens USB físicos ou verificações biométricas de impressão digital ou ocular. No entanto, o código enviado para o celular é o mais comum.
É importante destacar que a autenticação multifator engloba um conceito mais amplo. Uma conta extremamente segura pode requerer três fatores de autenticação, em vez de dois, por exemplo.
A 2FA Preveniria as Invasões?
Em ataques de “pulverização” e “preenchimento de credenciais”, os invasores já possuem senhas, só precisam encontrar contas que as utilizem. Já no “phishing”, os invasores detêm sua senha e seu nome de conta, o que é ainda pior.
Se as contas da Microsoft violadas em janeiro tivessem a autenticação multifator ativada, a posse da senha não seria suficiente. Os invasores também precisariam acessar os telefones das vítimas para obter o código MFA. Sem o acesso ao telefone, eles não conseguiriam invadir as contas.
Caso acredite que sua senha é inviolável e que não cairia em golpes de “phishing”, é crucial analisar os fatos. Segundo Alex Weinart, arquiteto principal da Microsoft, a sua senha não é tão relevante para a segurança da sua conta.
Essa vulnerabilidade não é exclusiva das contas Microsoft, mas de todas as contas online que não utilizam MFA. De acordo com o Google, a MFA impede 100% dos ataques de bots (ataques de pulverização, preenchimento de credenciais e métodos automatizados similares).
A análise do gráfico de pesquisa do Google demonstra que o método “Chave de Segurança” é 100% eficaz na prevenção de ataques automatizados, “phishing” e ataques direcionados.
Mas o que é o método “Chave de Segurança”? Este método utiliza um aplicativo em seu celular para gerar o código MFA.
Embora o método de “Código SMS” seja bastante eficaz, um aplicativo é ainda mais seguro. Recomendamos o Authy, que é gratuito, simples de utilizar e poderoso.
Ativando a 2FA em Todas as Contas
É possível habilitar a 2FA ou outro método de MFA na maioria das contas online. A configuração varia de plataforma para plataforma, mas geralmente está no menu de configurações da conta em “Conta” ou “Segurança”.
Temos guias que detalham como ativar a MFA em alguns dos sites e aplicativos mais populares:
| Amazon | Apple ID |
| Google/Gmail | |
| Microsoft | Nest |
| Nintendo | |
| Ring | Slack |
| Steam |
A MFA é a estratégia mais eficiente para proteger suas contas online. Se ainda não a ativou, reserve um tempo para fazê-lo o mais breve possível, especialmente em contas críticas, como email e banco.