Nenhum método é perfeito, mas as chaves de segurança física são uma forma confiável de autenticação multifator. Crédito:Shutterstock
Quando se trata de cibersegurança pessoal, você pode pensar que está indo bem. Talvez você tenha a autenticação multifator configurada em seu telefone de modo que precise inserir um código enviado a você por SMS antes de fazer login em seu e-mail ou conta bancária a partir de um novo dispositivo.
O que você pode não perceber é que novos golpes fizeram autenticação usando um código enviado por mensagens SMS, e-mails ou chamadas de voz menos seguros do que costumavam ser.
A autenticação multifator está listada no Essential Eight Maturity Model do Australian Cyber Security Centre como uma medida de segurança recomendada para que as empresas reduzam o risco de ataques cibernéticos.
Mês passado, em uma lista atualizada, autenticação via mensagens SMS, e-mails ou chamadas de voz foram rebaixados, indicando que eles não são mais considerados ideais para segurança.
Aqui está o que você deve fazer.
O que é autenticação multifator?
Sempre que fazemos login em um aplicativo ou dispositivo, geralmente somos solicitados a fazer alguma forma de verificação de identidade. Geralmente é algo que sabemos (como uma senha), mas também pode ser algo que temos (como uma chave de segurança ou um cartão de acesso) ou algo que somos (como uma impressão digital).
O último é geralmente o preferido porque, enquanto você pode esquecer uma senha ou um cartão, sua assinatura biométrica está sempre com você.
A autenticação multifator é quando mais de uma verificação de identidade é conduzida por meio de canais diferentes. Por exemplo, é comum hoje em dia inserir sua senha, e um código de autenticação extra que você precisa inserir é enviado para o seu telefone via mensagem SMS, e-mail ou correio de voz.
Muitos serviços, como bancos, já oferece esse recurso. Você recebe um código "único" para o seu telefone, a fim de confirmar a autoridade para decretar uma transação.
Isso é bom porque:
Como isso pode dar errado?
Suponha que um cibercriminoso tenha roubado seu telefone, mas você o tem bloqueado por impressão digital. Se o criminoso quiser comprometer sua conta bancária e tentar fazer login, seu banco envia um código de autenticação para o seu telefone.
Dependendo de como as configurações do seu telefone estão definidas, o código pode aparecer na tela do seu telefone, mesmo quando ainda está bloqueado. O criminoso pode então inserir o código e acessar sua conta bancária. Observe que as configurações de "não perturbe" em seu telefone não ajudarão, pois a mensagem ainda aparece, embora silenciosamente. Para evitar este problema, você precisa desabilitar totalmente as visualizações de mensagens nas configurações do seu telefone.
Um hack mais elaborado envolve "troca de SIM". Se um criminoso tem alguns de seus detalhes de identidade, eles podem convencer sua operadora de telefonia de que são você e solicitar que um novo SIM anexado ao seu número de telefone seja enviado a eles. Dessa maneira, sempre que um código de autenticação é enviado de uma de suas contas, ele irá para o hacker em vez de você.
Isso aconteceu com um jornalista de tecnologia nos Estados Unidos há alguns anos, que descreveu a experiência:"Por volta das 21h de terça-feira, 22 de agosto, um hacker trocou seu próprio cartão SIM pelo meu, presumivelmente ligando para a T-Mobile. Esse, por sua vez, desligue os serviços de rede do meu telefone e, momentos depois, permitiu que o hacker alterasse a maioria das minhas senhas do Gmail, minha senha do Facebook, e texto em meu nome. Todas as notificações de dois fatores foram, por padrão, para o meu número de telefone, então não recebi nenhum deles e em cerca de dois minutos fui bloqueado da minha vida digital. "
Depois, há a questão de saber se você deseja fornecer seu número de telefone ao serviço que está usando. O Facebook foi criticado nos últimos dias por exigir que os usuários forneçam seu número de telefone para proteger suas contas, mas, em seguida, permitindo que outras pessoas pesquisem seu perfil por meio de seu número de telefone. Eles também supostamente usaram números de telefone para direcionar anúncios aos usuários.
Isso não quer dizer que dividir as verificações de identidade seja uma coisa ruim, acontece que o envio de parte de uma verificação de identidade por meio de um canal menos seguro promove uma falsa sensação de segurança que poderia ser pior do que não usar segurança alguma.
A autenticação multifator é importante - contanto que você faça isso por meio dos canais certos.
Quais combinações de autenticação são melhores?
Vamos considerar algumas combinações de autenticação multifator que possuem vários graus de facilidade de uso e segurança.
Uma primeira escolha óbvia é algo que você conhece e algo que você tem, diga uma senha e um cartão de acesso físico. Um cibercriminoso precisa obter os dois para se passar por você. Não é impossível, mas difícil.
Outra combinação é uma senha e uma impressão de voz. Um sistema de reconhecimento de impressão de voz grava você falando uma frase secreta específica e, em seguida, corresponde à sua voz quando você precisa autenticar sua identidade. Isso é atraente porque você não pode deixar sua voz em casa ou no carro.
Mas sua voz poderia ser forjada? Com a ajuda de um software digital, pode ser possível fazer uma gravação existente de sua voz, descompacte e reordene-o para produzir a frase necessária. Isso é um tanto desafiador, mas não impossível.
Uma terceira combinação é um cartão e uma impressão de voz. Esta escolha elimina a necessidade de lembrar uma senha, que pode ser roubado, e contanto que você mantenha o token físico (o cartão ou chave) seguro, é muito difícil para outra pessoa se passar por você.
Ainda não existem soluções perfeitas e usar a versão mais segura de autenticação depende de ela ser oferecida pelo serviço que você está usando, como seu banco.
A segurança cibernética trata do gerenciamento de riscos, portanto, a combinação de autenticação multifatorial que atende às suas necessidades depende do equilíbrio que você aceita entre usabilidade e segurança.
Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original. 
