A autenticação de dois fatores (2FA) foi inventada para adicionar uma camada extra de segurança ao procedimento de login simples — agora considerado antiquado e inseguro — que seria apenas inserir um nome de usuário e uma senha.
Um dos exemplos mais conhecidos da autenticação de dois fatores é quando você tenta entrar em um site familiar de uma máquina diferente ou de um local diferente, o que resulta em um IP também diferente.
Com os procedimentos de login habilitados para 2FA, você primeiro insere seu nome de usuário e senha no computador e, em seguida, recebe uma mensagem de texto em seu telefone, fornecendo um código de verificação. Você deve inserir esse código no computador para concluir o procedimento de login.
Mas será que esse método é mesmo seguro? O que você pode fazer para garantir mais segurança à autenticação no seu sistema? Continue lendo e descubra conosco!
Como a autenticação de dois fatores pode ser vulnerável?
Apesar das melhores intenções — proteger os dados das pessoas, dificultando o acesso a criminosos —, a autenticação de dois fatores ainda pode ser vulnerável. Como? Os criminosos a contornam já estando em posse de um fator de autenticação, ou fazem força bruta, ou usam aquela ferramenta maligna que nenhuma tecnologia pode proteger contra: engenharia social.
Aqui estão as formas mais comuns em que a 2FA pode ser burlada.
1. Phishing
O phishing pode ser usado para atrair vítimas para uma página de login falsa. Quando a vítima digita suas credenciais, o invasor as encaminha para a página de login real, desencadeando o procedimento 2FA que solicita à vítima o código numérico que foi enviado para ele ou, em alguns casos, produzido por um aplicativo autenticador.
O atacante captura esse código novamente na página de login falsa que a vítima ainda está usando e agora tem um conjunto de autenticação completo. Obviamente, o atacante terá que ser rápido. Mas uma vez que ele logue com sucesso, não há nada que o impeça de mudar o número de telefone para o qual o próximo código será enviado — ou qualquer outra coisa na conta que ele queira.
2. Resetar a senha
Alguns procedimentos de autenticação podem ser ignorados executando-se um procedimento de “senha perdida” se o atacante estiver de posse do item de recuperação.
Por exemplo, digamos que o invasor tenha acesso à conta de e-mail da vítima e que um link de verificação para um determinado login tenha sido enviado para essa conta. Nesse caso, o invasor pode usar o link “Esqueceu a senha” no site e usar a seguinte interação de e-mail para alterar a senha para algo que ele conhece.
3. Força bruta
Alguns tokens 2FA são tão curtos e limitados em caracteres que são facilmente obtidos pela força bruta. A menos que existam cofres contra falhas, um token de quatro dígitos é completamente inútil se o invasor tiver tempo de aplicar força bruta. Tokens que possuem uma validade limitada no tempo (TOTP) oferecem melhor proteção contra esse tipo de ataque.
4. Login de terceiros
Em alguns processos de login, é oferecida ao usuário a opção de fazer o login usando uma conta de terceiros, o que ignora o procedimento 2FA. O exemplo mais conhecido é o “login com sua conta do Facebook”, usado para determinados sites e aplicativos.
Nesse caso, um invasor pode assumir outras contas depois de conhecer suas credenciais do Facebook. Por isso, é recomendável que terceiros não sejam usados na autenticação, a menos que seja absolutamente necessário.
Como é possível aumentar a segurança na autenticação?
Com mais e mais massivas violações de dados de empresas extremamente populares registradas a cada mês, a autenticação de dois fatores está rapidamente se tornando um procedimento padrão.
E, mesmo que haja maneiras de contornar a autenticação de dois fatores, ela ainda é mais segura do que apenas usar o antigo “nome de usuário e senha”. Afinal, para contornar esse método, o invasor ainda teria que interromper dois ciclos de autenticação, em vez de apenas um.
Então, como podemos fazer a nossa parte para manter criminosos longe da 2FA? Existem dois pontos principais:
- O primeiro passo é instruir os colaboradores com uma política de senhas forte e treiná-los constante sobre as práticas de segurança recomendadas.
- O segundo é trabalhar com uma solução de antivírus, firewall e proteção de e-mail que filtre possíveis ataques de phishing chegando por esse e-mail.
A autenticação multi-fator também é uma alternativa. À medida que versões mais seguras e robustas da dela forem disponibilizadas, resta a esperança de que, algum dia, seja praticamente impossível burlar a autenticação dos usuários.
E você, como está protegendo sua empresa? Conheça o Grupo Binário e veja como podemos ajudar a aumentar a proteção nas suas autenticações!
