Se todos fizessem isso, eu diria que 90% das violações seriam evitadas.
O conceito da autenticação de dois fatores é simples: Adicionar uma segunda camada de proteção, além das senhas. Isso pode ocorrer através de um código que chega por SMS, e-mail, via confirmação por aplicativo, ou por tokens gerados por aplicativos - que é o que irei abordar nesse "tutorial".
A autenticação de tokens gerados por aplicativos é atualmente considerada uma das formas mais seguras de A2F (é como abreviamos o termo "autenticação de dois fatores"). Ela funciona basicamente da seguinte forma: Uma chave secreta é gerada pelo serviço que você quer ativar a A2F (geralmente é um código alfanumérico), e ao colocar essa chave no aplicativo gerador de tokens, ele começara a gerar códigos numéricos a cada 30 segundos. Esses códigos estão ligados através de uma função matemática à chave secreta, e isso garante que os códigos funcionem.
Agora, deixando a parte técnica de lado, vou falar sobre como usar essa proteção reforçada. Não vou falar de um, mas de dois aplicativos que eu recomendo.
- Aegis Authenticator
- Bitwarden Authenticator
O primeiro se chama "Aegis", e está disponível apenas para Android. Esse é o aplicativo que eu uso atualmente, e recomendo caso você use um aparelho Android.
O segundo é dos mesmo desenvolvedores do gerenciador de senhas Bitwarden, que é o gerenciador de senhas que eu uso e recomendo. Mas se eu uso o gerenciador de senhas deles, por que não recomendo o aplicativo autenticador também? Simples, o Bitwarden Authenticator foi lançado muito recentemente, e ainda possui bem menos funções que o Aegis.
Apesar disso, ele cumpre bem as funções básicas de um aplicativo autenticador, além de que os desenvolvedores prometeram adicionar novas funcionalidades. Então pode ser que no futuro ele se torne a minha escolha favorita. E também, ele está disponível tanto para iOS quanto para Android. Assim, você usuário de iPhone não fica na mão.
• Usando os aplicativos
Não tem muito segredo sobre como utilizar os aplicativos, pois eles são basicamente uma interface para exibir os tokens das contas que você salvar. Para fazer isso, basta clicar no botão com um "+", e ler o QRCode, ou se não for possível, inserir a chave secreta manualmente da conta ou serviço que você está ativando a A2F. Se feito de forma correta, o aplicativo começará a exibir códigos que trocam a cada 30 segundos.
O Aegis oferece uma grande quantidade de opções para customizar e deixar o aplicativo do jeito que você achar melhor. O Bitwarden Authenticator ainda não possui customização, mas é compreensível, pois o aplicativo foi lançado a pouco tempo.
• Segurança dos aplicativos
Ambos os aplicativos possuem mecanismos básicos de segurança, como autenticação individual para entrar no aplicativo. No entanto, o Bitwarden Authenticator possui apenas a opção de biometria, então se você estiver com um aparelho sem suporte a biometria, ficará sem essa proteção adicional. O Aegis por sua vez, pode ser configurado com uma senha, e com biometria.
Os aplicativos também contam com algumas configurações úteis, como exportar e importar o seu cofre. Assim, você pode criar backups dos seu cofre, ou migrá-lo de um aplicativo para o outro.
No entanto, eu recomendo realizar backups apenas com o Aegis, pois até o momento só ele permite exportar os códigos em um arquivo criptografado. Isso permite que você possa salvar seus backups tanto localmente, quanto em algum serviço de nuvem com segurança, pois somente quem souber a senha que você configurou inicialmente no Aegis poderá acessar seus tokens. Além disso, você pode opcionalmente configurar um backup com uma senha diferente da usada para abrir o app.
⚠ Cuidados ao usar a A2F
É preciso ter alguns cuidados ao utilizar a autenticação de dois fatores.
Um dos principais problemas que as pessoas tem quando começam a utilizar a A2F, é perder o acesso aos códigos de autenticação. Isso pode ocorrer se seu aparelho com o aplicativo autenticador parar de funcionar, for roubado, perdido, formatado, etc. E como fazer para evitar "ficar trancado para o lado de fora" das suas contas?
A grande maioria dos serviços que oferecem esse tipo de A2F, oferecem códigos de backup. Geralmente é uma pequena lista de códigos únicos, que só podem ser usados uma vez, e podem ser usados caso você perca o acesso ao seu aplicativo autenticador. O problema é que a grande maioria das pessoas esquece de anotar esses códigos, então quando algo acontece, elas não conseguem recuperar o acesso aos serviços que usava.
Minha dica é anotar esses códigos em um gerenciador de senhas, que a propósito, você pode aprender a configurar o do Bitwarden clicando aqui. Se você já fez isso, você pode salvar todos os seus códigos de backup nele. Assim, seus códigos de backup estão seguros, e disponíveis em todos os dispositivos que você instalou o Bitwarden.
Outra conselho é criar backups do cofre. Como eu disse acima, é possível exportar uma cópia do seu cofre em formato de arquivo, que pode ser usada mais tarde caso você precise. Porém, novamente, no momento apenas o Aegis realiza backups criptografados, então se for realizar um backup pelo Bitwarden Authenticator, tenha isso em mente.