Autenticação de Dois Fatores: PROTEJA OS SEUS DADOS!

A ideias de uma autenticação de dois fatores na internet teve a sua génese no século passado, tendo arrancado de forma definitiva no século XXI, impulsionada pela ampla difusão dos telemóveis e smartphones. Neste método de autenticação, após o uso da palavra-passe, é pedido ainda a inserção de um segundo código, que pode ser enviado por e-mail ou telemóvel. A possibilidade de enviar um código de verificação, obriga que o criminoso tenha de roubar não só as credenciais de acesso a um sítio na internet, nome de utilizador e palavra-passe, mas também tenha de ter acesso ao meio utilizado para a dupla autenticação. A dupla autenticação via código enviado por e-mail, dificulta os acessos indevidos, mas possui a desvantagem do e-mail poder encontrar-se num dispositivo comprometido, além de não ser aplicável em autenticações a contas que já incluem um serviço e-mail. Com o advento do telemóvel, o SMS tornou-se o processo de eleição para a autenticação de dois fatores, mas a tendência tem ido no sentido do uso de aplicações móveis, os chamados autenticadores. Estas aplicações de autenticação evitam situações em que existe uma burla simultânea ao nível da conta e do serviço de comunicações ao qual está associado o telemóvel utilizado para a autenticação em dois fatores. Nesse tipo de burla o criminoso faz-se passar pela vítima (falsificação de identidade) e pede o cancelamento do cartão SIM e a sua substituição por outro, com o mesmo número de telemóvel. O criminoso procede assim a uma recuperação da palavra passe para o SIM que agora dispõe com o número da vítima. As aplicações evitam situações em que o telemóvel foi comprometido, pois nesse caso teria de haver um acesso direto ao dispositivo móvel e não simplesmente a duplicação/substituição do cartão SIM. Temos como exemplos o Google Authenticator e o Microsoft Authenticator que  asseguram a autenticação em dois fatore para contas Google e Microsoft, respectivamente. Estas duas plataformas são particularmente importantes, porque têm sido muito utilizadas para fins educativos no nosso país. Existem aplicações semelhantes para plataformas de videojogos, como é o caso do Steam Guard. Outras plataformas de jogos, como a Playstation, também já apresentam as sua próprias soluções, assim como, os sítios online dos bancos, havendo neste momento a possibilidade de uso da impressão digital. Resta dizer que não existe um sistema perfeito, mas que boas práticas de procedimentos, programação e encriptação são necessárias para dificultar engenharia reversa de aplicações de autenticação e burla de cartões SIM. Mas seja qual for o caso, deve usar-se sempre autenticação de dois fatores, caso esta esteja disponível, pois a sua inexistência, é um risco muito maior.  Notar que o autenticador pode ficar comprometido caso não haja cuidado. Deve haver grande ponderação aquando do fornecimento de dados solicitados por e-mail e telefone, em regra tal nunca deve ser feito, especialmente se a comunicação não foi iniciada pelo utilizador. Se surgir alguma dúvida, deve desligar-se o telefone, apagar o SMS ou o e-mail suspeito (sem carregar em hiperligações que estes contenham). Se alguém quiser realmente contactar seriamente consigo, usará outras formas de comunicação que não deixam margem para dúvidas e não vai pedir-lhe dados de autenticação. Por último, recorra imediatamente ao Centro Internet Segura ou à Associação Portuguesa de Apoio à Vítima se suspeitar de burla. Links de consulta: Ministério Público – Ciber Crime APAV – Apoio à vítima APAV - cibercrime Polícia Judiciária - Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) 7 Tips for Safe Online Banking SMS or authenticator app – which is better for two-factor authentication? DeRay Mckesson’s Twitter account hacked with just his name and four digits Your mobile phone account could be hijacked by an identity thief What To Do Right Away Do you use SMS for two-factor authentication? Here's why you shouldn't How to Secure Your Accounts With Better Two-Factor Authentication Access your account easily, and securely Google Authenticator How Authy, Google Authenticator and other offline OTP generation apps work? How to prevent reverse engineering of your mobile apps? Mobile App Security Threats and Secure Best Practices Set up multi-factor authentication for Microsoft 365 ‘You can’t relax’: Here’s why 2-factor authentication may be hackable Two-factor security is the best lock for your digital life, but it’s not perfec