Todos sabemos que para nos registarmos num qualquer site ou num serviço como, por exemplo, o Gmail, temos de definir um nome de utilizador e uma password. Mas também já temos vindo a ver que a identificação só através de uma password, ainda que seja uma password forte, não é totalmente seguro.
E é aí que aparece aquilo que normalmente se chama autenticação em 2 passos, ou seja, a password não bastar e ser preciso dar mais alguma indicação sobre a nossa identidade. Uma forma muito comum, a que já estão certamente habituados, é, depois de introduzir a password, o site ou a aplicação enviarem-nos uma mensagem para o nosso email ou para o nosso telefone, a pedir para confirmarmos um código que nos foi enviado. Desse modo, se alguém eventualmente teve acesso à nossa identificação para aquele site ou aplicação, não vai conseguir aceder se não tiver também acesso ao nosso telemóvel.
É a isto que chamamos uma autenticação em 2 passos ou autenticação de 2 fatores ou 2FA (two-factor authentication) ou 2SV (two-step verification).
MFA
A autenticação multifator (ou MFA) é alargar esta ideia a formas (ou fatores) adicionais de identificação, com o objetivo de melhorar o nível de segurança.
Esses fatores podem ser de 3 tipos:
- Conhecimento - Algo que só o utilizador sabe, como uma password, ou a resposta a uma pergunta
- Posse - Algo que só o utilizador tem, por exemplo o telemóvel
- Inerência - Algo que o utilizador é, por exemplo uma impressão digital, ou a identificação da cara
Usar estes métodos de confirmação da identidade é muito mais seguro do que usar simples passwords, por mais seguras que possam parecer. Segundo a Microsoft, a utilização de MFA permite previne até 99,9% dos ataques a que possamos estar sujeitos.
2FA ou MFA?
Uma pergunta que se pode fazer é: qual dos 2 métodos - 2FA ou MFA - é mais seguro? À partida, ter um método com vários fatores deveria ser mais seguro do que um método apenas com 2 fatores. Mas, na realidade, o que importa é quis são concretamente esse fatores ou elementos de identificação que estamos a usar. Por exemplo, usar a nossa impressão digital é mais seguro do que responder a uma pergunta. Reconhecer a nossa cara é mais seguro do que ter acesso ao nosso telemóvel, que pode entretanto ter sido roubado. Ou seja, a segurança de um método MFA (2FA é um caso particular de MFA em que só usamos 2 fatores) depende essencialmente da segurança dos métodos concretos que decidirmos usar.
Segurança vs. simplicidade de utilização
Apesar dos benefícios que aporta, temos que reconhecer, no entanto, que usar estes métodos mais sofisticados, implica muitas vez uma maior maçada no momento de aceder a um site ou aplicação... Quantas mais camadas de verificação introduzirmos, maior a segurança, mas menos simples se torna aceder a esse serviço. E isso muitas vezes leva os utilizadores a não definir essas regras adicionais, ou então a passar a usar serviços (sites ou aplicações) onde não lhes levantem tantas barreiras ao seu acesso. Temos de reconhecer que os utilizadores não gostam que o acesso aos serviços se torne mais complicado...
Por exemplo, em 2018 a Google revelou que menos de 10% dos seus utilizadores tinham ativado a funcionalidade opcional de 2FA. Por isso, em 2021 a Google começou a auto-ativar 2SV para utilizadores. Mais concretamente, auto-ativou para 150 milhões de utilizadores até ao final de 2021. Em consequência dessa iniciativa, a Google reportou uma diminuição de cerca de 50% no número de contas atacadas.
Como encontrar então um equilíbrio adequado entre segurança e simplicidade de utilização? O recurso a fatores biométricos - impressões digitais e reconhecimento da face - é uma boa forma de atingir esse equilíbrio.
A maioria dos telemóveis atuais dispõem da capacidade de leitura de impressões digitais e muitos de reconhecimento da face. São 2 formas de identificação que praticamente não causam nenhuma sobrecarga na forma de acesso aos serviços. Utilizem essas possibilidades sempre que possível.
Nos PC ainda não estão tão generalizadas estas funcionalidades como nos telemóveis: poucos computadores permitem ler impressões digitais ou fazer o reconhecimento da face. Se essas opções estiverem disponíveis no vosso PC, ativem-nas. No caso das impressões digitais, se o vosso PC não tem essa funcionalidade, estão disponíveis no mercado pequenos leitores, de muito baixo custo (tipicamente 10-30€), que se inserem numa porta USB do PC, e se ativam de forma muito simples. Se fôr o caso, penso que se justifica esse pequeno investimento.
Que serviços devem ter autenticação forte?
Embora todos os nossos acessos a sites e aplicações devessem gozar destas proteções de segurança, há serviços para os quais estas preocupações são mais prementes.
Gestores de palavras-passe
Os gestores de palavras-passe funcionam como uma espécie de cofre digital, pois ajudam a armazenar palavras-passe complexas e distintas para cada serviço. São considerados serviços críticos, uma vez que todas as suas palavras-passe estão guardadas no mesmo sítio e, por isso, podem ficar comprometidas, caso alguém o consiga aceder.
Contas de e-mail
As contas de e-mail são muito sensíveis, não apenas pelas informações pessoais que possuem, mas também porque são um dos métodos mais comuns para recuperar as palavras-passe de outros serviços. A opção “Esqueci-me da minha palavra-passe” consiste no envio para o e-mail de uma nova palavra-passe ou de um link para alteração da mesma. Com o acesso à caixa de entrada, torna-se possível fazer alterações de palavras-passe para diversos serviços.
Homebanking
O banco digital é um serviço crítico porque o acesso ao mesmo permite movimentar as suas poupanças, seja através de transferências, pagamentos ou compras online.
A Autoridade Bancária Europeia impõe a utilização de autenticação de multifator para determinadas operações bancárias (por exemplo, pagamentos eletrónicos ou transferências bancárias).
Deve utilizar a autenticação forte quando acede à sua conta de pagamento pela internet, quando inicia uma operação de pagamento eletrónico ou quando realiza uma ação por um canal remoto, uma vez que estas operações podem envolver alguns riscos (por exemplo, fraude no pagamento). Contudo, existem algumas operações que não recorrem a este método, como os pagamentos de baixo valor (menos de 30 euros).
Compras online
As lojas online obrigam a redobrar cuidados, sobretudo se tiver cartões de crédito associados, pois um terceiro não autorizado pode fazer compras pela internet, se tiver as suas credenciais.
Portal das Finanças
O Portal das Finanças requer cautela porque permite fazer operações que podem comprometer a vida financeira do utilizador (por exemplo, fazer licitações em leilões de compra de bens penhorados pelas Finanças).
Sem comentários:
Enviar um comentário