A Autenticação de Dois Fatores não é Invencível: Por Que Usar um Gerenciador de Senhas é a Sua Melhor Escolha

Two-Factor Authentication Is Not Invincible

Os profissionais de segurança são muito escrupulosos quando se trata do que deve e o que não deve ser dito sobre as defesas cibernéticas de um produto. Se um departamento de marketing é insensato o suficiente para afirmar que um determinado sistema tem uma proteção "perfeita", os especialistas embarcarão em uma missão para provar que essas alegações estão erradas. E você pode ter certeza de que será uma missão bem-sucedida.

Quando se trata de segurança cibernética, nada é perfeito. O mecanismo de autenticação tradicional que se baseia em um nome de usuário e senha fornecidos pelo usuário, por exemplo, é terrivelmente falho. Muitas pessoas dirão a você que as imperfeições podem ser contornadas pela autenticação de dois fatores, mas o fato é que ela também não é isenta de falhas. Mas o que elas são exatamente? E a existência delas significa que devemos abandonar a autenticação de dois fatores?

Quando a tecnologia falha

Algumas semanas atrás, o Reddit, uma plataforma de agregação de notícias que foi recentemente classificada como o sexto site mais popular do mundo, admitiu que havia sofrido uma violação de dados.

Deve ser dito que não é o ataque cibernético mais horrível que o mundo já viu. Os bandidos conseguiram roubar um banco de dados que continha coisas como nomes de usuários, senhas salted e com hash, postagens e até mesmo mensagens privadas, mas esse banco de dados foi criado em 2007, quando o Reddit era muito menos popular. A maneira pela qual os criminosos entraram, no entanto, destacou um dos problemas com a autenticação de dois fatores - o fato de que ela, às vezes, se baseia em uma tecnologia que é vulnerável a ataques.

Primeiro, os hackers roubaram as credenciais de login que pertenciam a alguns funcionários do Reddit e abriram contas no provedor de hospedagem do agregador de notícias. O provedor de hospedagem ofereceu a autenticação de dois fatores, e os funcionários o habilitaram, mas o sistema dependia de um código temporário enviado por meio de uma mensagem de texto, e fica bastante claro que os hackers conseguiram obter esse código. Os responsáveis pelo Reddit estavam convencidos de que não havia malware nos telefones dos funcionários e concluíram que os bandidos conseguiram interceptar os SMS enquanto estavam no ar.

Não é algo que um script comum possa fazer, mas interceptar textos já é tecnicamente possível há algum tempo, e hackers experientes e determinados o suficiente sabem claramente como fazê-lo. Se acharem que poderão roubar informações valiosas, eles não hesitarão em atacá-lo também, e é por isso que é uma boa idéia ficar longe de mensagens de texto como um segundo fator sempre que possível. Mesmo se você escolher uma opção diferente, ainda há uma coisa que pode falhar: o seu dedo indicador.

Quando as pessoas falham

Em abril de 2017, o hacker Kuba Gretzky demonstrou uma outra maneira de contornar a autenticação de dois fatores que deve funcionar independentemente do sistema depender ou não de mensagens de texto. Ele começa com um invasor redirecionando as vítimas para uma falsa página de login que imita a aparência da real.

A página falsa não registra apenas os nomes de usuários e senhas. Ela age como um proxy para o formulário de login real e não prosseguirá para a próxima etapa até que a vítima forneça as credenciais corretas. Em seguida, o site mal-intencionado solicita o segundo fator que a vítima deve inserir exatamente como faria normalmente e, quando isso for feito, Gretzky projetou o sistema para redirecionar o usuário para um documento padrão do Google Drive.

Você pode pensar que a página de login falsa roubou o código temporário do segundo fator, mas estaria errado. O ataque todo gira em torno da interceptação do cookie de sessão, o que dá ao invasor muito mais liberdade, porque enquanto o cookie de sessão estiver ativo, ele terá acesso à conta da vítima sem precisar digitar o nome de usuário e a senha.

Você pode argumentar que esse ataque é possível devido à maneira como a autenticação de dois fatores funciona, mas a verdade é que os trapaceiros não conseguirão chegar perto do cookie da sessão se o usuário não clicar em um link e for redirecionado para o falso formulário de login. Então, tudo se resume ao fato de que as pessoas não são treinadas o suficiente e são extremamente propensas a se tornarem vítimas de ataques de phishing.

Isso significa que devemos parar de usar a autenticação de dois fatores?

Claro que não. Se você ainda não fez isso, ative-a em todos os serviços que a oferecem e certifique-se de usar algo mais seguro que o SMS, sempre que possível.

Mesmo com o melhor sistema de autenticação de dois fatores, você deve se certificar de que todos os ataques sejam interrompidos o mais cedo possível. Isso obviamente inclui o uso de senhas únicas e fortes para todas as suas contas. A maneira mais fácil de fazer isso é, obviamente, com um gerenciador de senhas, e estamos felizes em apresentar a você a nossa própria solução: o Gerenciador de Senhas do Cyclonis.

Usando o nosso gerador de senhas aleatórias, você poderá criar senhas complexas e exclusivas para todas as suas contas, e não precisará se lembrar delas, pois todas elas serão armazenadas no seu cofre criptografado pessoal. Para a sua conveniência, há uma extensão de navegador que pode preencher automaticamente as credenciais de login para você, mas só fará isso nas páginas legítimas, o que significa que, se você acabar em um site de phishing, a extensão poderá realmente ajudá-lo a perceber que algo não está certo. O melhor de tudo, tudo isso não lhe custará um centavo, pois o Gerenciador de Senhas do Cyclonis é totalmente gratuito.

Os especialistas em segurança têm procurado por uma bala de prata cujo tamanho resolva todos os nossos problemas e nos permita aproveitar a Internet sem nos preocuparmos com os milhões de ameaças que surgem em cada esquina. Não há como fugir do fato de que, se isso for possível, temos um longo caminho a percorrer até chegarmos lá. Até lá, a segurança permanecerá dependente de múltiplos fatores, que incluem senhas fortes e exclusivas, mecanismos robustos de autenticação de dois fatores e a nossa própria compreensão de onde um único clique errado pode nos levar.

Por Duran
March 6, 2019
Password Security
Portuguese
March 6, 2019
Password Security

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.