O que é a Autenticação do Segundo Fator Universal (U2F) e como Usá-la para Proteger as Suas Contas

U2F Universal Second Factor

Você pode ter se cansado de ouvir os especialistas em segurança falando continuamente sobre autenticação de dois fatores (2FA) e sobre como devemos ativá-la. Você pode estar se perguntando por que eles continuam batendo sobre isso o tempo todo.

A resposta é simples: os humanos não são muito bons com senhas. Mesmo que você tenha decidido permitir que uma solução de gerenciamento de senhas cuidasse de suas credenciais de login, você pode ter certeza de que alguém que trabalha para um provedor de serviços que você está usando não fez isso. Esse alguém pode ter deixado o seu nome de usuário e senha expostos em um banco de dados, e tudo que os malfeitores precisam fazer é encontrar o banco de dados e fazer o login.

O objetivo da autenticação de dois fatores é resolver esse problema. Um código temporário (conhecido como Baseado /tempo, Senha Descartável ou TOTP) é gerado por um aplicativo ou enviado via SMS, o que garante que as suas credenciais de login, por si só, não serão suficientes para permitir a invasão. E a única coisa que você precisa fazer é (na maioria dos casos) dar uma olhada no seu telefone e digitar alguns símbolos. É seguro, mas talvez o mais importante, é não ser muito complicado. Mas isso é perfeito?

O problema com a tradicional autenticação de dois fatores

O cenário online é um lugar dinâmico. Por exemplo, sabíamos há anos que os SMSs podem ser interceptados, mas apenas alguns dias atrás, aprendemos que há outras maneiras de comprometer as informações contidas neles. A Voxox, uma empresa americana que, entre outras coisas, processa mensagens de texto automáticas enviadas por empresas, descartou milhões dessas mensagens e as deixou em um banco de dados voltado para a Internet que não era protegido por senha.

Não se sabe há quanto tempo o banco de dados foi exposto, mas os especialistas em segurança que o analisaram disseram que qualquer um que soubesse onde procurar teria sido capaz de ver o fluxo de SMS em "quase em tempo real". Alguns dos textos continham dois TOTPs para vários serviços online.

Mesmo que eles não tenham os TOTPs esperando por eles em um banco de dados desprotegido, os criminosos têm outros meios de colocar as mãos neles, sendo o phishing a opção mais óbvia.

Em outras palavras, o 2FA, especialmente em sua variação mais comum, não é perfeito. Nós temos uma solução?

U2F: a alternativa viável

O Universal Second Factor, mais conhecido como U2F, é um padrão de autenticação desenvolvido pela primeira vez pelo Google e por uma empresa chamada Yubico. Agora, ele é apoiado por um consórcio mais amplo de provedores de serviços chamado Fast Identity Online (ou FIDO), e seu objetivo é tornar a autenticação de dois fatores não apenas mais segura, mas também mais conveniente.

Desta vez, não há TOTP que você recebe por SMS ou veja em um aplicativo para dispositivos móveis. O U2F depende de um dispositivo de hardware que você conecta ao seu computador através da porta USB e/ou emparelha com o seu smartphone por meio de um Bluetooth ou NFC. A maioria desses dispositivos costumam ser chamados de chaves e parecem pequenas unidades USB que você pode anexar ao seu chaveiro. Dependendo do fabricante, você pode ser obrigado a pressionar ou tocar em um botão no dispositivo para ativá-lo, mas, além disso, não é necessário fazer qualquer outra coisa para fazê-lo funcionar.

Usar um dispositivo U2F para completar o segundo fator em um sistema de autenticação de dois fatores é a definição da simplicidade. A maneira como funciona, no entanto, é uma história diferente, já que o processo é bastante complicado.

A comunicação entre o dispositivo U2F e o servidor do provedor de serviços é criptografada com algoritmo criptográfico de chave pública (ou assimétrica), o que significa que ele se baseia não em uma, mas em duas chaves - uma pública e outra privada. Por design, a chave privada nunca deixa o dispositivo U2F, o que significa que os hackers terão dificuldade em copiá-la.

O U2F é eficaz para interromper virtualmente todos os ataques conhecidos na autenticação de dois fatores. Tentativas de phishing, seqüestro de sessão e interceptação de SMS são inúteis, e uma das melhores coisas sobre esse padrão é o fato de que, mesmo que alguém consiga encontrar um dispositivo U2F perdido, a menos que saiba para que contas ele está sendo usado (assim como senhas para essas contas), eles não podem fazer nada com ele.

O U2F é realmente um dos poucos protocolos de autenticação que melhoram a postura de segurança do usuário e, ao mesmo tempo, torna a experiência geral mais fácil e agradável. Na verdade, é tão bom que, no início de 2017, ninguém menos que o Google disse a todos os seus 85.000 funcionários que eles deveriam usar dispositivos U2F para proteger as suas contas de trabalho. No início deste ano, o colossus do mecanismo de pesquisa anunciou que não havia recebido nenhuma invasão de conta confirmada dos funcionários desde a introdução das chaves de hardware.

Certamente, se for bom o suficiente para o Google, deve ser bom o suficiente para você. No entanto, vamos considerar algumas das desvantagens.

O U2F é bom, mas não é perfeito

Duvidamos que muitos de vocês possam honestamente colocar uma mão em seus corações e dizer que nunca perderam um pen drive em suas vidas. Como já mencionamos, um dispositivo U2F tem praticamente o mesmo tamanho e, embora a sua perda possa não comprometer as suas contas, isso dificultará o registro no log.

Como todos os dispositivos de hardware, uma chave U2F também pode ser danificada ou roubada, o que significa que você terá que substituí-la por outra. E isso significa ter que desembolsar algum dinheiro extra apenas para poder usar as suas contas online.

Sim, infelizmente, os dispositivos U2F não são gratuitos. A maioria deles começa em cerca de US $ 10 por pop, então eles não são exatamente caros, mas para alguns usuários, até mesmo isso é demais. Isso tem sufocado a adoção até um certo ponto, mas outros fatores também estão em jogo.

O padrão já existe há mais de uma década, mas ainda não é tão amplamente suportado como seria de se esperar. Em 2014, o Google Chrome se tornou o primeiro navegador a oferecer suporte ao U2F e, embora seus concorrentes estejam se recuperando, eles não parecem estar com muita pressa. Se você usa o Firefox, por exemplo, precisa ativar o suporte para o U2F nas configurações e, como no Safari, ele não funciona com as chaves de hardware. Não são apenas os navegadores. Embora cada desenvolvedor possa adotar o padrão e implementá-lo sem pagar um centavo, o número de serviços on-line que oferecem U2F como uma opção de autenticação de dois fatores ainda é limitado.

Em suma, por melhor que seja, o U2F ainda não é uma parte essencial das nossas vidas online. Se isso vai mudar e a rapidez com que vai mudar, só o tempo dirá.

April 2, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 6 + 3 ?