a idade da autenticação automatizada através de digitalização biométrica está quase aqui. No entanto, mesmo nesta época do ID Facial Da Apple, o Hello do Windows 10, e a especificação do FIDO2 up-and-coming, as senhas ainda são a principal forma de login em nossas várias contas. É por isso que a autenticação de dois fatores (2FA) é um passo secundário importante para guardar seus dados e serviços online.
o que é a autenticação de dois factores?
two-factor, ou multi-factor, autenticação é um código de login adicional para uma conta—uma segunda linha de defesa para a sua informação sensível.
a ideia básica é que uma única senha para as suas contas importantes simplesmente não é suficiente. Se sua senha é adivinhada, ou hackers roubar uma base de dados com suas informações de login em texto simples, sua conta é um alvo fácil. Autenticação de dois fatores tenta resolver essa falha, exigindo um código secundário chamado uma senha única (OTP)-geralmente seis caracteres de comprimento e gerado por um aplicativo de smartphone—antes que você possa ganhar acesso à sua conta. Assim, mesmo que um hacker tenha a tua palavra-passe, ainda vão precisar de decifrar um código secundário, o que torna muito mais difícil entrar.
Há também uma maneira mais fácil de usar o 2FA chamado o padrão FIDO U2F, suportado pelo Google, Facebook, e muitos outros. Com este tipo de autenticação você usa uma chave de segurança física, e insere isso no seu PC, Toque no botão da chave, e você está “automagicamente” conectado.
Google ‘ s Titan Security Key.
2FA isn’t foolproof, however. Se você decidir obter seus códigos 2FA através de SMS, por exemplo, o código pode potencialmente ser interceptado por hackers, como pesquisadores de tecnologias positivas demonstraram em 2017. Dito isto, a autenticação de SMS ainda é muito melhor do que nada. Em maio de 2019, o Google anunciou um estudo de um ano que fez em parceria com a Universidade de Nova York e a Universidade da Califórnia, San Diego. O trio descobriu que a autenticação de SMS bloqueou 96 por cento dos ataques de phishing em massa, e 76 por cento dos ataques direcionados tentando entrar em sua conta Google.
isso não é uma proteção ruim, mas a estratégia imediata do Google on-device (vamos cobrir isso mais tarde) foi ainda melhor, bloqueando 99 por cento dos ataques de phishing em massa, e 90 por cento dos ataques alvo. App-based two-factor authentication is similar in that the second step is generated on the smartphone itself. Assim, embora este estudo não mencionasse aplicativos 2FA especificamente, esperamos que os resultados seriam os mesmos que, se não melhor do que, um prompt on-device.
o fato é que, usar uma solução 2FA baseada em software ou hardware em um dispositivo que você possui é uma ótima maneira de proteger sua conta, e muito melhor do que simplesmente usar SMS.
opções de Software
qualquer serviço que suporte a abordagem padrão OTP 2FA irá funcionar com todos os aplicativos abaixo, e isso inclui a maioria dos sites e serviços tradicionais. Uma exceção notável é o Steam, que oferece uma opção homegrown 2FA em sua aplicação móvel.
o Google Authenticator: Melhores geral
Uma das formas mais comuns de usar a autenticação de dois fatores é o Google Authenticator. Este é um aplicativo de smartphone gratuito do Google disponível para Android e iOS.
usá-lo é muito simples e pode introduzir iniciantes para a premissa básica da maioria dos aplicativos 2FA. O que você faz é ativar a autenticação de dois fatores em seus serviços, como Facebook, Gmail, Dropbox. etc. Uma vez ativado, o serviço irá pedir—lhe para tirar uma foto de um código QR usando o app-Android usuários precisam baixar um aplicativo de leitura de código QR para trabalhar com o Google Autenticator.
nota: em alguns casos, 2FA também é chamada de verificação em duas etapas, que é uma distinção que não vamos entrar aqui.
Uma vez que o código QR tenha sido lido, o autenticador irá começar a gerar códigos e o serviço irá tipicamente pedir-lhe para introduzir o actual para verificar que o 2FA está a funcionar. Você pode adicionar todas as contas que quiser ao Google Autenticator, desde que elas suportem o 2FA.
LastPass Autenticador: Corredor
LastPass livre de autenticação app usa um recurso chamado um-toque em notificações push, que permite registrar em para selecionar sites em PCs com apenas um clique em vez de digitar os códigos. LastPass tem um vídeo no YouTube demonstrando o recurso.
logins de uma torneira trabalham com o LastPass em si, e também com cinco sites de terceiros, incluindo Amazon (não incluindo AWS), Google, Dropbox, Facebook e Evernote. Para usar notificações de toque único, você deve ter a extensão LastPass instalada no seu navegador e ativada. Isso significa que você deve ter uma conta LastPass, mas um livre serve. Estes logins de um toque são específicos do navegador, por isso, se você fizer um toque no Login do Chrome, você terá que fazer login novamente se você usar o Microsoft Edge, por exemplo.
tudo pode parecer um pouco misterioso, mas aqui está o que está acontecendo nos bastidores com logins one-tap em sites de terceiros. Quando um usuário entra em um site compatível, a extensão do navegador LastPass envia uma notificação de push para o telefone do usuário, que alerta O usuário de que um login está sendo solicitado. As torneiras do usuário permitem no telefone, e uma mensagem de confirmação é devolvida para a extensão que inclui o código 2FA necessário. A extensão recebe esta informação, fornece-a ao site, e o usuário está logado.
LastPass Autenticator também se integra com vários sites de propriedade da empresa-mãe do Gerenciador de senhas, LogMeIn, para oferecer um tipo semelhante de login one-tap. Estes sites incluem LastPass, LogMeIn Pro/Central, GotoAssist, LogMeIn Rescue, Xively.
Microsoft Autenticador
a Microsoft também tem um gratuito do aplicativo google authenticator para Android, iOS e Windows 10 Móvel. Ele pega códigos para sites como Facebook e Dropbox, quebrando um código QR, assim como os outros. Para contas pessoais da Microsoft, no entanto, ele suporta notificações one-tap semelhantes ao LastPass.
a funcionalidade da Microsoft pode fazer login na sua conta em qualquer dispositivo. Tudo o que você tem que fazer é aprovar o login e é tão bom como digitar o código curto. Não é um economizador de tempo enorme, mas é um pouco mais conveniente.
Authy: Melhor multi-solução do dispositivo
Se você já usou 2FA para qualquer comprimento de tempo, então você sabe que uma das desvantagens é que você tem de passar pelo incómodo de re-ativar seus códigos de autenticação de cada vez que mudar para um novo smartphone.
Se tiver 10 contas com 2FA, isso significa que terá novamente 10 códigos QR. Se você é um viciado em smartphone que gosta de mudar dispositivos a cada um ou dois anos esse processo pode ser um aborrecimento.
O serviço gratuito do Authy visa resolver esse problema armazenando todos os seus tokens 2FA-os dados dos bastidores que fazem com que os seus códigos 2FA funcionem—na nuvem em seus servidores. Para usar esta funcionalidade, você tem que ativar backups criptografados primeiro, e então seus tokens são armazenados nos servidores do Authy.
dessa forma, quando você entrar em qualquer aplicativo de Authy, seja no seu smartphone, tablet, Windows ou laptop Mac, você tem acesso aos seus códigos. Até há uma aplicação Chrome para os utilizadores Chrome OS.
Acesso Multi-Dispositivo aos seus códigos 2FA é incrível, mas ele vem com uma desvantagem. O Authy diz que as cópias de segurança estão encriptadas com base numa senha introduzida no seu smartphone antes de atingir a nuvem. Isso significa que seu código é a única maneira de descriptografá-los, e Authy não tem isso em arquivo. Se você esquecer a sua senha você pode ficar trancado fora de suas contas, uma vez que você não terá os códigos 2FA. Como você recuperar o acesso a cada conta depende das políticas de recuperação de conta de cada serviço.
Se você é novo no 2FA, este pode não ser o aplicativo para você, a menos que você esteja preparado para tomar as medidas adequadas para garantir que você nunca perde o acesso a Authy—like escrever o seu código de passagem e armazená-lo em algum lugar seguro.
opções de Hardware
a forma mais segura de bloquear as suas contas com autenticação de dois factores é usar uma chave de segurança física. No estudo Google que mencionei anteriormente, ele descobriu que Chaves de segurança bloqueou 100 por cento do phishing em massa e ataques alvo.
a desvantagem de usar uma chave de segurança, no entanto, é que se alguma vez perder ou quebrar a sua chave, poderá ser bloqueado fora das suas contas—e terá de mudar o seu método de autenticação do segundo factor para uma nova chave.
Yubico Autenticador
Esta opção é meu favorito. Yubikey de Yubico é uma solução 2FA baseada em hardware. É um pequeno dispositivo tipo cartão com uma extremidade que se desloca para uma porta USB Tipo A padrão. Ele pode verificar a autenticação com um botão pressione em vez de introduzir manualmente um código curto. YubiKeys também são muito duráveis e à prova de água, tornando difícil arruinar estes dispositivos.
essa abordagem só funciona para contas que suportam o padrão FIDO U2F acima mencionado, como o Google e o GitHub. Para aqueles serviços que não suportam o padrão, um YubiKey também pode armazenar tokens 2FA e exibir códigos no aplicativo autenticador Yubico.
Como você usa Yubico Autenticator para obter um código 2FA depende se você está usando o aplicativo authenticator em um PC ou um smartphone Android. No ambiente de trabalho, basta inserir a chave numa porta USB, e o autenticador mostra imediatamente os seus códigos curtos e permite-lhe adicionar novos. Remova o seu YubiKey, e a aplicação pára de mostrar os códigos imediatamente. O autenticador Yubico no desktop funciona com a maioria dos modelos YubiKey, exceto a chave básica FIDO U2F.
no Android você precisa de um YubiKey que suporte o NFC e o aplicativo Yubico Autenticator, que nesta escrita é o Yubikey 5 NFC ($45), e o agora descontinuado (mas ainda suportado) Yubikey Neo. Com estas chaves, tudo o que faz é abrir o autenticador no seu telemóvel, tocar na chave perto do chip NFC do seu telemóvel, e os seus códigos irão aparecer no aplicativo. Há também uma chave de segurança $ 27 NFCRemove non-product link, mas ele só suporta autenticação FIDO U2F (e logins sem senha FIDO2), Não uma única vez-senha funcionalidade.
Similar ao Authy, a beleza do YubiKey é que ele permite que você transfira facilmente seus códigos de Autenticador de um dispositivo para o próximo.
Titan Security Key
Google estreou sua própria chave de segurança de hardware em 2018, O Titan Security KeyRemove non-product link. Esta chave vem num pacote de 50 dólares com dois dispositivos físicos. O primeiro é uma chave com uma inserção USB-A semelhante ao YubiKey. O segundo é um dongle Bluetooth que pode se conectar ao seu telefone Sem Fio. A chave de segurança Titan tem algumas desvantagens. Em primeiro lugar, ele só suporta sites que usam o padrão FIDO e FIDO2F, o que significa que você não pode recuar em códigos OTP para sites que suportam 2FA, mas não Fido um toque entrada. O Google também teve recentemente de se lembrar de seus dongles Bluetooth depois de uma falha de segurança grave foi descoberto. Yubico, por comparação, ainda não lançou uma versão Bluetooth de sua chave de segurança, porque ele não acredita que a tecnologia é Segura o suficiente. bónus: O Google no dispositivo solicita
Um exemplo do Google no dispositivo solicita.se mergulhar no mundo do 2FA é demasiado para si neste momento, porque não mergulhar o dedo do pé na experiência com as indicações do Google on-device? Esta é uma medida de segurança simples que ajuda a proteger a sua conta Google.
sempre que você quiser entrar no Google em uma nova máquina, você terá que autorizar com um clique em seu dispositivo Android ou iOS. Para que isso funcione no Android, você precisará da versão mais recente dos serviços do Google Play, que a maioria das pessoas deve ter automaticamente. Qualquer pessoa em dispositivos iOS precisa de uma versão atual do Google ou do Gmail apps. a autenticação de dois factores é um passo importante a tomar para proteger as suas contas importantes sempre que possível. Pode parecer uma dor às vezes para inserir esse código extra—que você pode apenas ter que fazer uma vez por dispositivo ou uma vez a cada 30 dias-mas é um preço que vale a pena pagar para tornar suas contas on-line mais seguro.Nota:: Quando você compra algo depois de clicar em links em nossos artigos, podemos ganhar uma pequena comissão. Leia nossa Política de link da filial para mais detalhes.