Qual opção de autenticação de dois fatores é a melhor?
Em face disso, a autenticação de dois fatores (2FA) é um recurso de segurança implacavelmente simples e incrivelmente eficaz. Em essência, ao implementar a autenticação de dois fatores, você garante que um invasor não possa assumir a conta da vítima usando apenas um nome de usuário e uma senha. Há uma etapa adicional durante o processo de autenticação sem a qual o acesso não será concedido. Até agora, tão direto. É aqui que começa a ficar mais complicado, no entanto.
A maioria dos sistemas 2FA conta com uma segunda senha temporária (geralmente chamada de senha única ou OTP), que o usuário deve inserir para desbloquear sua conta. Em outros casos, o login requer um dispositivo ou token de hardware que atue como prova de que o usuário está autorizado a acessar a conta. Há muito debate sobre qual é a melhor opção - um token de hardware ou um OTP. A questão sobre qual é o melhor token de hardware também foi discutida e o mesmo vale para as diferentes maneiras pelas quais os sistemas 2FA baseados em OTP podem ser implementados. Em outras palavras, para muitos, o 2FA levantou mais perguntas do que respondeu.
Índice
A discussão OTP
Um OTP é um segundo fator bastante robusto, mas precisa ser implementado corretamente. Para que os OTP funcionem, eles precisam ser únicos e aleatórios. Se os hackers conseguirem descobrir o algoritmo por trás do mecanismo que cria os OTPs, eles poderão vencer todo o sistema 2FA. Eles também poderão solucionar o problema se tiverem tempo suficiente para adivinhar o OTP. Por questões de usabilidade, geralmente, os OTPs são códigos de 4 ou 6 dígitos que podem ser adivinhados com relativa facilidade. É por isso que é importante garantir que eles expirem após um período de tempo razoável. Obviamente, limites de taxa adequados também podem impedir que invasores forcem brutalmente.
É justo dizer que a maioria dos desenvolvedores e administradores de sistemas que escolheram o 2FA baseado em OTP observam essas regras, e ataques desse tipo específico não são tão comuns. Quando se trata do método de entrega para OTPs, as coisas são completamente diferentes.
Existem várias maneiras diferentes pelas quais você pode entregar um OTP ao usuário. Você pode fazer isso por e-mail, SMS ou um aplicativo autenticador no smartphone. Muitas pessoas estão perdendo a calma com a insegurança de alguns desses meios. Nós já discutimos no passado, por exemplo, a tecnologia por trás de mensagens de texto que é bastante antigo e pode, teoricamente, deixar hackers interceptar OTPs e desvio 2FA. Por um tempo, os e-mails também foram condenados por serem inseguros demais para transportar informações confidenciais, como OTPs 2FA.
O fato é que a melhor maneira de garantir que os OTPs não possam ser interceptados durante a transmissão é não transmiti-los. É por isso que aplicativos móveis 2FA como o Google Authenticator são considerados a melhor opção para sistemas de autenticação de dois fatores baseados em OTP que não exigem um token de hardware adicional. O problema com esses aplicativos, no entanto, é que os usuários que não possuem um smartphone não podem usá-los.
Os tokens de hardware são a solução?
A idéia de aplicativos 2FA deriva de tokens de hardware que também usam funções criptográficas complexas para criar OTPs no local. Conhecido como RSA SecurID, eles têm aproximadamente o tamanho de um chaveiro e têm um pequeno visor LCD monocromático que mostra o OTP atual. Você pode ver isso como uma solução, especialmente se alguns de seus usuários em potencial não tiverem smartphones, mas ainda há uma coisa a considerar. A vulnerabilidade inerente às senhas descartáveis é que, assim como as senhas normais, elas podem ser falsificadas.
É por isso que, de acordo com especialistas em segurança, os sistemas 2FA mais seguros contam com chaves U2F - tokens de hardware que, em vez de gerar e exibir OTPs, se comunicam diretamente com seu computador ou dispositivo móvel e o autenticam automaticamente. Eles são pequenos o suficiente para serem carregados em um chaveiro, não têm bateria e a tecnologia sem fio em que alguns deles dependem significa que a autenticação geralmente é instantânea. Como o usuário não precisa inserir um OTP, este é considerado o melhor método em termos de usabilidade e segurança. Ainda não é perfeito, no entanto.
Ao contrário dos aplicativos 2FA, e-mails e, na maioria dos casos, mensagens de texto, as chaves U2F não são gratuitas. O investimento não é enorme, mas o fato triste é que a maioria dos usuários não está interessada em pagar pela segurança, e mesmo um preço razoável pode ser uma barreira suficiente para eles. Obviamente, o problema de perder os pequenos tokens também está presente.
Como escolher a implementação 2FA mais apropriada para o seu serviço?
Em suma, não existe "o 2FA perfeito". Algumas implementações são mais seguras que outras, mas todas elas têm seus próprios problemas separados, o que significa que, se você estiver executando um serviço on-line, deverá decidir que tipo de 2FA você implementará com base nos usuários, nas necessidades deles, e seus modelos de ameaças. Para flexibilidade adicional, a maioria dos provedores de serviços permite que as pessoas escolham qual implementação 2FA desejam usar em uma lista de várias opções diferentes, e essa talvez seja a abordagem mais razoável, considerando a diversidade da base de usuários.
Lembre-se de não esquecer uma coisa - mesmo o 2FA mais inseguro é melhor que o 2FA.
