Autenticação de Dois Fatores (2FA)

Publicado por Igor Matsunaga em

Por que você deve utilizar?

A autenticação de dois fatores, normalmente conhecida como ‘2FA’ é um dos métodos mais simples e seguros para proteger contas onlines confidenciais de serem acessadas por possíveis cibercriminosos. 

Por ser uma maneira simples e segura de proteger as contas, muitos sites de alto nível e provedores de serviço já oferecem proteção de login 2FA para seus clientes.

Mas mesmo assim, ainda existem relativamente poucas pessoas utilizando a tecnologia 2FA, optando por não habilitar a proteção, apesar de sua disponibilidade. Segundo dados de fontes online, se descobriu que apenas 28% dos usuários  se utiliza desse recurso para acessar contas confidenciais, com apenas 54% deles o utilizando voluntariamente.

Para usuários de criptomoedas, detentores de ativos digitais e aqueles que realizam transações regulares por meio de trocas de criptografia online, manter suas informações seguras e prioridade. Utilizar os serviços 2FA é uma etapa importante nesse processo de segurança. 

O que é 2FA?

A autenticação de logins ou identidades por meio do 2FA originou-se de um conceito denominado autenticação multifator ou MFA.  A autenticação multifator é baseada em algo que o usuário tenha conhecimento , como por exemplo, um PIN, nome do primeiro animal de estimação entre outros. Já o outro fato é que o usuário  tenha a posse de algo, como por exemplo, seu Smartphone,  cartão do banco ou algo que eles possuam e que é individual para eles, como uma impressão digital que é uma categoria mais avançada, e compreende algo que você é, o que pode incluir um padrão biométrico de impressão digital, de iris ou de voz com 2FA.

Como sugere o nome, 2FA requer apenas dois desses fatores para autenticar um usuário. Isso é perfeitamente adequado para a segurança da maioria das contas de usuário normais e leva muito menos tempo do que a verificação por meio de três ou mais etapas. Este é um dos principais motivos pelos quais 2FA se tornou a forma mais popular de verificação .

Será que já utilizei autenticação de 2 fatores

É muito provável que você já tenha utilizado 2FA nós dias de hoje. Por exemplo alguns  provedores de serviços bancários tradicionais, se utilizam de chip e PIN como uma das formas mais básicas de um processo de verificação em duas etapas, exigindo que o usuário apresente um cartão do banco, que é algo que ele ” tem “, junto com um PIN, que é algo que ele ” conhece ‘. Outro exemplo seria a combinação correta do cartão (algo que o usuário possui) e da senha (algo que o usuário sabe) que permite a operação ser completada.

O uso da identificação por dois fatores para provar a identidade de alguém é baseado no fato de que ambos os fatores precisam ser utilizados e estarem corretos. Se um dos componentes for perdido ou usado incorretamente, a identidade do usuário não pode ser estabelecida livre de suspeita.

Ao fazer transações online , como inserir detalhes de login em um site, você pode não ter um PIN ou um cartão físico . Então, como o site sabe que você é quem afirma ser, e não um cibercriminoso que tenta obter acesso à sua conta? É aqui que os métodos e aplicativos modernos de 2FA são usados, pois mesmo em caso de algum dos fatores serem comprometidos, sua conta ainda sim não será desbloqueada. Vamos explorar como esses sistemas funcionam .

Como funciona o 2FA?

Exigindo que o usuário forneça duas formas de autenticação. A primeira forma – em geral – é a sua senha. O segundo fator pode ser qualquer coisa, dependendo do serviço. O mais comum dos casos, é um SMS ou um código que é enviado para um e-mail. A teoria geral por trás de dois fatores é que para efetuar login, você deve saber e possuir algo a mais.

TOTP

A muitos dos aplicativos autenticadores funcionam por meio do que é conhecido como ‘ Senha única baseada em tempo ‘ ou ‘TOTP’. Esse é um tipo de ‘ token de software ‘  2FA.

algoritmo One-Time Password baseada em tempo ( TOTP ) é uma extensão da base-HMAC One-time algoritmo de senha (HOTP) gerando uma senha de uso único por vez tomando singularidade do momento atual. 

Para autenticações subsequentes utilizando o TOTP, os horários dos dispositivos do usuário e o servidor precisam ser mais ou menos sincronizado (o servidor irá normalmente aceitar senhas de uso único gerada a partir de data e hora que diferem por ± intervalo de 1 hora de timestamp do cliente).

TOTP Algorithm Explained - Protectimus Solutions

Apenas para você saber a diferença, um ‘ token de hardware ‘ 2FA é um código gerado em uma peça física e dedicada de hardware , como um chaveiro com uma pequena tela LCD. Essas unidades não são mais normalmente utilizadas hoje em dia, porque são caras, fáceis de perder  ou facilmente roubadas. 

secureID

Existem ferramentas como a SecureID da RSA, que é um gerador de códigos que normalmente se utiliza no setor corporativo para executar autenticação de dois fatores para um usuário em um recurso de rede. 

How do RSA SecureID ® Keys Work? - Information Security Stack Exchange

Transaction Authentication Number (TAN)

 Transaction Authentication Number (TAN) é uma velha forma de autenticação de dois fatores. Eram populares na Europa e eram utilizados da seguinte forma: o banco enviava uma lista de TAN’s e cada vez que você precisasse realizar uma transação de dinheiro teria que inserir alguns destes códigos. O caixa automático funcionava também como uma ferramenta de autenticação de dois fatores. 

Transaction authentication number - Wikipedia

Cenário atual

Atualmente, muitas empresas implementam tecnologias biométricas que cumprem com as mesmas funções. Alguns sistemas necessitam, além de uma senha pessoal, a impressão digital, varredura da íris, batimentos cardíacos, ou alguma outra medida biológica dos usuários.

Fonte:

https://pt.qwe.wiki/wiki/Time-based_One-time_Password_algorithm#:~:text=O%20algoritmo%20One%2DTime%20Password,tomando%20singularidade%20do%20momento%20atual.

https://pt.wikipedia.org/wiki/Identifica%C3%A7%C3%A3o_por_dois_fatores

https://www.kaspersky.com.br/


Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *