A autenticação de dois fatores, também conhecida como 2FA (2 factor authentication), tem sido usada pelos principais aplicativos utilizados nos smartphones. O que poucas pessoas sabem é que existem três principais tipos de 2FA, mas o fato mais crítico mesmo é que praticamente ninguém tem ciência de que a verificação de dois fatores via SMS (mensagem de texto) é o método menos seguro de todos.
A autenticação em duas etapas, outro nome dado à 2FA, necessita de dois componentes diferentes para verificar a identidade do usuário. Esses elementos podem ser algo que o usuário sabe (código numérico), algo que o usuário possui (tokens gerados via hardware ou software) ou algo que é inseparável do usuário (métodos biométricos como digital, rosto, voz, íris).
Pare agora de usar a autenticação de dois fatores (2FA) via SMS
![Não use a autenticação de dois fatores (2FA) via SMS. Fonte: unsplash (foto por Chris Ried) Não use a autenticação de dois fatores (2FA) via SMS. Fonte: unsplash (foto por Chris Ried)](https://www.oficinadanet.com.br/media/post/45170/330/capa-porque-voce-deve-parar-agora-de-usar-a-2fa-via-sms.jpg)
No Brasil e no mundo, diversas operadoras de telefonia lutam contra uma prática chamada SIM swapping (ou SIM hijacking ou SIM splitting ou SIM jacking), que consiste na clonagem do cartão/chip SIM. Os hackers (cibercriminosos) assumem o controle do número de telefone da vítima transferindo-o para um novo chip e utilizam da 2FA via SMS (mensagem de texto) para alterar as senhas de diversos aplicativos, podendo acessar contas de e-mail, aplicativos de redes sociais e até mesmo contas bancárias, dependendo dos métodos de segurança utilizados.
Em julho de 2020, o site BleepingComputer relatou que a Verizion disponibilizou um recurso chamado "Number lock" devido às fraudes de aquisição de contas, chamadas de account takeover (ATO) no exterior, através da utilização de cartões/chips SIM. Isso é só um exemplo que demonstra o quão inseguro é utilizar a autenticação de dois fatores via SMS.
Alternativa à autenticação de dois fatores (2FA) via SMS
Como a autenticação de dois fatores (2FA) via SMS não é um método de segurança falho, uma alternativa que pode ser interessante é a utilização de aplicativos de autenticação como, por exemplo, o Google Authenticator, o Microsoft Authenticator, entre outros. Uma vantagem do app da Microsoft sobre o da Google é o backup de dados na nuvem, evitando a perda do acesso às contas quando o usuário muda seu celular.
Em minha experiência, o Microsoft Authenticator tem se mostrado eficiente tanto para a utilização na autenticação de dois fatores (2FA) via token gerado pelo aplicativo quanto no preenchimento automático de senhas. O token é um sistema de geração de códigos e pode ser encontrado em forma física (objeto) ou virtual (software, aplicativo). A cada 30 segundos, o app troca o código de acesso para realizar a 2FA.
Como utilizar o Microsoft Authenticator
Após baixar o aplicativo Microsoft Authenticator na Play Store (Android), a maneira mais fácil de começar a utilizar o app de autenticação é importar as senhas salvas no Gerenciador de Senhas do Google, que estão no navegador Chrome. Para isso, você deve baixar a extensão Preenchimento Automático Microsoft no Chorme para desktop e acessar o seguinte endereço no navegador:
chrome://settings/autofill
Ao inserir o link acima no Chrome, você acessará a seção de Preenchimento Automático. Nesta página, selecione a opção "Gerenciador de Senhas" e localize o escrito "Exportar senhas". Ao fazer isso, aparecerá uma janela para que você selecione onde o arquivo será salvo.
Há duas formas de salvar o arquivo. A primeira é através do aplicativo OneDrive utilizando o "Cofre pessoal", onde é necessário ter ele instalado tanto no computador quanto no celular para possibilitar o acesso ao arquivo que contêm os dados das senhas salvas. O app OneDrive no computador deverá estar aberto para que apareça a opção na hora de salvar o arquivo de senhas exportadas pelo gerenciador do Chrome.
A segunda alternativa é salvar o arquivo em alguma pasta no computador e acessar a extensão Preenchimento Automático Microsoft no navegador Chrome. A diferença entre as duas formas é simplesmente a facilidade de acesso e a segurança no caso da utilização do OneDrive. Para acessar as configurações da extensão, clique no símbolo de peça de quebra-cabeça em cima no canto direito do navegador Chrome e selecione a extensão "Preenchimento Automático Microsoft" como na imagem abaixo.
![Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri](https://www.oficinadanet.com.br/media/post/45170/330/porque-voce-deve-parar-agora-de-usar-a-2fa-via-sms-corpo-texto-01.jpg)
Selecione configurações na janela da extensão "Preenchimento Automático Microsoft".
![Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri Acessando as configurações da extensão Preenchimento Automático Microsoft no navegador Google Chrome. Fonte: Vitor Valeri](https://www.oficinadanet.com.br/media/post/45170/330/porque-voce-deve-parar-agora-de-usar-a-2fa-via-sms-corpo-texto-02.jpg)
Na página de configurações da extensão "Preenchimento Automático Microsoft", selecione "importar dados".
![Importando as senhas salvas do navegador Google Chrome para a extensão Preenchimento Automático Microsoft. Fonte: Vitor Valeri Importando as senhas salvas do navegador Google Chrome para a extensão Preenchimento Automático Microsoft. Fonte: Vitor Valeri](https://www.oficinadanet.com.br/media/post/45170/330/porque-voce-deve-parar-agora-de-usar-a-2fa-via-sms-corpo-texto-03.jpg)
Clique no botão azul "Escolher arquivo".
![Importando Importando](https://www.oficinadanet.com.br/media/post/45170/330/porque-voce-deve-parar-agora-de-usar-a-2fa-via-sms-corpo-texto-04.jpg)
Pronto, agora você irá utilizar o aplicativo Microsoft Authenticator para acessar suas contas. Entretanto, ainda é necessário acessar os aplicativos que possuem suporte à autenticação de dois fatores (2FA) com aplicativos de autenticação para ativar o recurso e adicioná-lo ao app de autenticação da Microsoft que está instalado no celular.
Exemplos de apps que aceitam esse método:
É importante lembrar que para aumentar a segurança do acesso às suas contas, você deve desativar a verificação de dois fatores via SMS (mensagem de texto), pois há aplicativos que permitem a utilização de mais de um método de verificação de identidade do usuário.
Para utilizar a autenticação de dois fatores no aplicativo Microsoft Authenticator, abra o app e na guia/aba inicial selecione o símbolo "+" em cima no canto direito. Feito isso, selecione qual é a conta que você está adicionando para utilizar a 2FA com token. Caso seja um aplicativo que não é da Microsoft, toque em "outra conta (Google, Facebook, etc.).
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.