Autenticação multifator: quem tem e como configurá-la
Publicados: 2022-01-29O bug Heartbleed de 2014 expôs milhões de logins na Internet a golpistas graças a um pequeno pedaço de código, e nossos pesadelos de segurança só pioraram progressivamente nos anos seguintes.
Qual é o usuário médio da Internet para fazer? Bem, você deve ter senhas fortes. Eles são um método de autenticação bastante risível e podem ser coletados facilmente por uma variedade de métodos. (Mas você pode parar de alterar suas senhas constantemente, a menos que elas estejam em uma violação.)
O que você realmente precisa é de uma segunda maneira de verificar a si mesmo. É por isso que muitos serviços de Internet, alguns dos quais sentiram o aperto de serem invadidos ou violados, oferecem autenticação multifator (ou MFA ). Até muito recentemente, costumávamos chamá-lo de autenticação de dois fatores ( 2FA ), mas mais fatores são melhores. Você encontrará todos os termos usados alternadamente com "várias etapas", "duas etapas" e "verificação", dependendo do marketing.
Como disse o analista de segurança líder da PCMag, Neil J. Rubenking, "há três fatores geralmente reconhecidos para autenticação: algo que você sabe (como uma senha), algo que você tem (como um token de hardware ou telefone celular) e algo que você está (como sua impressão digital). Dois fatores significa que o sistema está usando duas dessas opções." Multifator significa que você pode ter até mais de dois.
Os scanners biométricos para impressões digitais e retinas ou rostos estão em alta graças a inovações como o Face ID da Apple e o Windows Hello. Mas na maioria dos casos, a autenticação extra é simplesmente uma string numérica, alguns dígitos enviados ao seu telefone, como um código que só pode ser usado uma vez.
Você pode obter esse código via mensagem de texto SMS (o que não é uma boa ideia) ou um aplicativo de smartphone especializado chamado "autenticador". Uma vez vinculado às suas contas, o aplicativo exibe um conjunto de códigos em constante rotação para utilizar sempre que necessário - nem mesmo requer uma conexão com a Internet. Existem vários aplicativos, incluindo alguns de grandes nomes como Microsoft e Google, além de Twilio Authy, Duo Mobile e LastPass Authenticator. Todos eles fazem a mesma coisa, essencialmente, alguns com gerenciamento de senhas e outros recursos. Aqui está nosso resumo dos melhores aplicativos de autenticação.
A maioria dos gerenciadores de senhas populares (como o LastPass) também oferece autenticação MFA por padrão. Os códigos fornecidos pelos aplicativos autenticadores são sincronizados em suas contas, para que você possa digitalizar um código QR em um telefone e obter seu código de acesso de seis dígitos em seu navegador, se houver suporte.
Esteja ciente de que a configuração de MFA pode realmente interromper o acesso em alguns serviços mais antigos. Nesses casos, você deve confiar nas senhas do aplicativo — uma senha que você gera no site principal para usar com um aplicativo específico. Você verá as senhas de aplicativos como uma opção no Facebook, Twitter, Microsoft, Yahoo, Evernote e outros – todos os quais são usados como logins de terceiros ou têm funções mais antigas que você pode acessar em outros serviços. A necessidade de senhas de aplicativos está, felizmente, diminuindo.
Lembre-se disso enquanto você entra em pânico com o quão difícil tudo isso parece: Estar seguro não é fácil . Os bandidos contam com você sendo negligente. A implementação da MFA significa que levará um pouco mais de tempo para fazer login cada vez em um novo dispositivo, mas vale a pena a longo prazo para evitar roubos graves, seja de sua identidade, dados ou dinheiro.
A lista a seguir não é exaustiva de serviços com capacidade de MFA, mas abordamos os principais serviços que todos costumam usar e orientamos você na configuração. Ative a MFA em todos eles e você estará mais seguro do que nunca.
Verificação em duas etapas da Amazon
O suporte ao Amazon 2FA é muito importante, pois a Amazon tem seus dedos em muitas tortas, como Comixology, Audible.com e sites que usam a Amazon para pagamentos - todos vinculados ao seu cartão de crédito.
Abra a Amazon.com na área de trabalho, clique no menu suspenso Contas e listas e vá para Sua conta . Clique em Login e Segurança . Na página seguinte, clique em Editar ao lado de Configurações da verificação em duas etapas (2SV) . O método preferido é um aplicativo de autenticação (digitalizar o código QR); número(s) de telefone são o método de backup.
Uma boa opção com a Amazon é a capacidade de dizer ao serviço para ignorar os códigos em dispositivos confiáveis (ou em vários navegadores confiáveis no mesmo dispositivo). Se essa opção não funcionar mais tarde, volte para a página Verificação em duas etapas (2SV) e clique em Exigir OTP em todos os dispositivos . OTP significa senha de uso único; é assim que a Amazon insiste em chamar o código de autenticação.
Autenticação de dois fatores da Apple
Seu ID Apple é uma grande parte da sua vida se você for um usuário de iOS ou Mac. É importante não apenas para o acesso, mas também para o armazenamento via iCloud; compras como filmes, livros e aplicativos; e assinaturas de serviços como Apple Music e Apple TV+.
Para ativar a autenticação de dois fatores, vá para a página Gerenciar seu ID Apple e faça login. Procure por Segurança da conta > Autenticação de dois fatores e clique em "Começar..."
Em seguida, você recebe as etapas sobre como configurar o 2FA para a Apple usando iOS ou macOS. No iOS, você vai para Configurações> [seu nome na parte superior]> Senha e segurança> Ativar autenticação de dois fatores . No macOS, vá para > Preferências do Sistema > iCloud , entre, clique em Detalhes da Conta > Segurança > Ativar Autenticação de Dois Fatores . (Aqui estão os detalhes sobre como configurá-lo no iOS 15 para que você possa literalmente usar seu dispositivo iOS como um aplicativo autenticador.)
Você terá que responder a duas de suas três perguntas de segurança predefinidas e reconfirmar seu cartão de crédito na conta para entrar na configuração. Em seguida, você deve inserir um número de telefone válido para receber uma mensagem de texto ou ligação telefônica (mesmo que seja o número que já está no telefone que você está usando para configuração). Se for o mesmo telefone, o código de seis dígitos será inserido automaticamente quando chegar, ou apenas digite-o.
Depois disso, fazer login em qualquer coisa com um ID Apple deve gerar o código no dispositivo usado para a configuração. A Apple também suporta senhas específicas de aplicativos.
Observe que, uma vez que a autenticação de dois fatores da Apple está ativa, você não pode desativá-la. “Certos recursos nas versões mais recentes do iOS e macOS exigem esse nível extra de segurança, projetado para proteger suas informações”, diz a Apple.
Verificação em duas etapas do Dropbox
O Dropbox no site para desktop tem uma guia chamada Segurança . É onde você vai para verificar quantas sessões atuais estão logadas e os dispositivos estão usando a conta, para alterar a senha e, claro, ativar a verificação em duas etapas. Ative-o , digite uma senha e você será perguntado se deseja obter códigos de segurança por mensagem de texto SMS ou por meio de um aplicativo autenticador móvel.
Se você escolher texto, digite um número de telefone e receba um código imediatamente. Você também pode inserir um número de backup, além de receber um número de 16 dígitos que você deve salvar em algum lugar seguro; ele permitirá que você desative a verificação em duas etapas, se necessário. Se você escolher o aplicativo autenticador (e deveria), verá um código QR na tela para digitalizar. Outras opções incluem o uso de uma chave de segurança de hardware, se você tiver uma. O Dropbox fornece excelentes instruções de MFA.
Autenticação de dois fatores do Facebook
O Facebook é o último lugar onde você quer perder o controle de uma conta; sua versão de autenticação de dois fatores ajudará a evitar isso. Na área de trabalho, você acessa acessando Configurações > Segurança e Login .
Em Autenticação de dois fatores , clique em Editar à direita. Na próxima tela, selecione como você gostaria de receber sua segunda forma de autenticação: uma mensagem de texto, aplicativo autenticador ou chave de segurança física. Isso é algo que você conecta ou coloca perto de seu computador para obter acesso - para obter mais informações, leia As melhores chaves de segurança para autenticação multifator.
Se você selecionar um aplicativo autenticador (que é a melhor opção quando se trata do Facebook), o Facebook produzirá um código QR na tela da área de trabalho. Abra seu aplicativo autenticador em seu smartphone, selecione Adicionar e segure seu smartphone na tela do computador para capturar o código. Na próxima vez que você entrar no Facebook e solicitar seu código de seis dígitos, abra o aplicativo autenticador para recuperá-lo.
As opções acima exigem que você tenha acesso ao seu telefone, é claro. Mas ao ativar a MFA, você pode obter uma lista de 10 códigos de recuperação para baixar e usar a qualquer momento, mesmo que não tenha seu telefone. Obtenha-os na área Configurações de autenticação de dois fatores e salve-os em algum lugar seguro.
Verificação em duas etapas do Google
Com acesso ao seu cartão de crédito (para compras no Google Play pagando via Google Pay), mensagens e documentos importantes, seus dispositivos domésticos inteligentes e até mesmo seus vídeos no YouTube – basicamente toda a sua vida – uma conta do Google precisa estar bem protegida. Felizmente, a empresa trabalha em sistemas MFA desde 2010.
A primeira opção mais fácil para a verificação em duas etapas do Google é usar o Prompt do Google . Basta adicionar seu smartphone à sua conta, certificar-se de que o aplicativo de pesquisa do Google está no telefone e, ao fazer login, vá até o telefone e simplesmente confirme com um toque que você está fazendo login. Fácil.
Se isso não funcionar, você precisará inserir um código extra. Esse código é enviado para o seu telefone por meio de texto SMS, chamada de voz ou usando um aplicativo autenticador. O Google Authenticator — ou qualquer aplicativo autenticador — pode gerar o código de verificação para você, sem necessidade de internet. Em sua conta pessoal, opte por registrar seu computador confiável para não precisar inserir um código durante cada login.
Depois de configurar a verificação em duas etapas do Google, acesse-a novamente visitando as configurações de segurança da sua conta do Google. Selecione os números de telefone opcionais que podem receber códigos, mude para usar um aplicativo autenticador e gere senhas específicas do aplicativo.
Autenticação de dois fatores do Instagram
O Instagram, de propriedade do Facebook, oferece autenticação de dois fatores desde 2016. Para ativá-lo, no aplicativo móvel, acesse seu perfil (com o ícone no canto inferior direito) e toque no menu de hambúrguer no canto superior direito. Toque em Configurações > Segurança > Autenticação de dois fatores .
Lá você pode escolher como deseja obter seu código de autenticação. As opções incluem um aplicativo de autenticação (recomendado) usando o WhatsApp ou via mensagem de texto (inclua o código do país, porque o Instagram está em toda parte). Se você usar um aplicativo de autenticação, o Instagram o guiará pelas etapas para configurá-lo, pois você não pode digitalizar exatamente um código QR do seu celular enquanto usa o aplicativo no seu celular.)
O aplicativo também oferece uma lista de cinco códigos de backup para uso quando você não conseguir obter códigos por meio do aplicativo de autenticação ou SMS. Diga ao aplicativo para enviar uma notificação de solicitações de login para sua conta para que você tenha uma chance extra de aprová-los.
Intuit TurboTax, Turbo e Mint.com
Preocupado com o SIRF? Isso é fraude de reembolso de identidade roubada, algo que o IRS combate para que suas restituições de impostos cheguem a você, não a golpistas e bandidos.
Ajude-se ativando a MFA, se você usar software/serviços de arquivamento eletrônico. O Intuit TurboTax é a Escolha dos Editores da PCMag para software de preparação de impostos. Depois de fazer login pelo navegador da área de trabalho, clique em Conta Intuit > Login e segurança e clique no link ao lado de Verificação em duas etapas . Se você já inseriu um número de telefone, ele deve aparecer aqui para que você possa verificar por mensagem de texto ou chamada de voz. Uma vez ativado, a opção de Ativar o aplicativo autenticador é exibida. O número de telefone permanece no sistema para fallback.
Esse login também funciona para o rastreador de finanças pessoais online Mint da Intuit.
Verificação em duas etapas do LinkedIn
A rede social de negócios LinkedIn facilita a configuração da verificação MFA, seja por mensagens SMS ou um aplicativo de autenticação. Vá para o menu Eu > Configurações e privacidade > Login e segurança > Verificação em duas etapas .
Você receberá imediatamente um código de seis dígitos para inserir para verificar se é você. Você recebe apenas um número de telefone (sem backup). Você também pode acessar aqui para obter códigos de recuperação que permitem acessar a conta mesmo que não tenha acesso ao telefone.
Verificação em duas etapas da Microsoft
A Microsoft uniu a maioria de seus serviços sob um único guarda-chuva. Outlook.com, OneDrive, Xbox Live, Skype, uma assinatura do Office 365, o próprio sistema operacional Windows e muito mais podem usar a mesma conta. Naturalmente, deve obter alguma proteção extra.
De fato, a Microsoft disse em 2021 que nem exigirá uma senha nas contas - desde que você use uma de suas maneiras de fazer login no estilo MFA. Isso significa usar o aplicativo Microsoft Authenticator no iOS ou Android, entrada biométrica do Windows Hello. Mas você pode continuar usando uma senha e obter uma chave de segurança ou código de verificação.
Recomendado por nossos editores
Entre na sua conta da Microsoft em account.microsoft.com/profile. Na navegação superior, clique em Segurança; na página seguinte, clique em Opções de segurança avançadas. Você verá um link chamado Adicionar uma nova maneira de fazer login ou verificar e poderá inserir muitas informações aqui, como endereços de e-mail e números de telefone que podem ser usados para obter um código, além de configurar Insira um código de um aplicativo autenticador. Abaixo disso, você verá opções para conta sem senha e verificação em duas etapas.
Você não precisa usar o Microsoft Authenticator se estiver configurando apenas o acesso MFA com uma senha. Ele também funciona com outros aplicativos de autenticação padrão, como Google Authenticator e Authy, mas para usá-los, você deve escolher "outros" durante a configuração. Ou você pode obter os códigos enviados por mensagem de texto ou e-mail.
Mas se você quiser usar a nova opção de conta sem senha , o Microsoft Authenticator será necessário em seu smartphone. Mas você pode nem precisar digitar um código - o aplicativo aparecerá se você tentar fazer login em algum lugar e, depois de fazer login no telefone em que o aplicativo está, você geralmente clica em algumas caixas para autenticação, fácil. (Alguns podem dizer que é fácil demais, já que tudo que qualquer um precisa acessar sua conta da Microsoft agora é roubar seu telefone, pois não há senha.)
A Microsoft fornece um código de recuperação para você anotar e manter em segurança, um código de 25 dígitos (como o tipo que ele usa em tudo, desde registros de software até brindes do Xbox).
Verificação em duas etapas do PayPal
Como um serviço dedicado a fazer pagamentos, é melhor que o PayPal seja o mais seguro possível.
Ao fazer login, clique no ícone de engrenagem para obter um menu e acessar Configurações > Segurança . Ao lado de Verificação em duas etapas , clique em Configurar . Você pode receber uma mensagem de texto ou código por meio de um aplicativo autenticador; para este último, você faz as etapas usuais de escanear um código QR com o aplicativo. Escolha uma opção para ser o método principal.
Você tem a opção de adicionar um método MFA de backup à sua conta, como um número diferente ou até mesmo outro aplicativo autenticador completo, para quando não conseguir acessar seu telefone. Volte para Configurações> Segurança e clique em Atualizar se quiser adicionar métodos ou desativar completamente a MFA. Você também pode pular a MFA em dispositivos selecionados ao fazer login neles, para que não seja solicitado um código nesse dispositivo/navegador novamente.
As etapas para isso são um pouco diferentes se você tiver uma conta comercial, mas, em última análise, você só precisa encontrar o caminho para Configurações para obter a verificação em duas etapas.
Autenticação de 2 fatores do Slack
Tem um escritório Slack? Se você pode protegê-lo com dois fatores depende das configurações da conta do seu workspace. Se você fizer login no Slack usando sua conta do G Suite, lidará com dois fatores por meio do Google. Se você estiver acessando vários workspaces do Slack, precisará configurar a MFA em cada workspace individualmente — alguns podem usá-lo, outros não.
Caso contrário, vá para Conta > Configurações > Autenticação de dois fatores para encontrar o botão Configurar autenticação de dois fatores . (Se você não vê, não é uma opção para você.) Depois de inserir sua senha, você tem duas opções: receber o código por meio de mensagens de texto SMS ou usar um aplicativo autenticador. Mesmo se você escolher o aplicativo, terá a opção de inserir um número de telefone celular de backup.
Os proprietários/administradores podem acessar Configurações e permissões do espaço de trabalho > Autenticação para exigir autenticação de dois fatores em todo o espaço de trabalho, se desejar.
Autenticação de dois fatores do Twitter
Para ativar a Verificação de login no Twitter.com na área de trabalho, clique no menu Mais à esquerda e selecione Configurações e privacidade > Segurança e acesso à conta > Segurança > Autenticação de dois fatores . Escolha obter códigos por telefone (texto SMS), aplicativo de autenticação ou com uma chave de segurança física (ou qualquer combinação dos três). No aplicativo móvel do Twitter, os passos são praticamente os mesmos, mas você começa clicando na sua foto de perfil.
O Twitter gerará códigos de backup para quando você perder um dispositivo e senhas temporárias para usar uma vez ao fazer login em serviços/locais/horários quando você não conseguir obter um código MFA regular.
Você também pode usar o próprio aplicativo do Twitter como um aplicativo de autenticação. No aplicativo móvel (isso não funciona na área de trabalho), vá para Configurações> Segurança e acesso à conta> Segurança> Autenticação de dois fatores> Gerador de código de login para visualizar um número de seis dígitos atualizado a cada 30 segundos, exatamente como um autenticador aplicativo. Isso pode ajudar ao fazer login em sites de terceiros com suas credenciais do Twitter.
Chave da conta do Yahoo ou verificação em duas etapas
Para configurar a verificação no Yahoo, acesse suas informações pessoais (procure seu nome ou o link para Entrar, no canto superior direito de qualquer página do Yahoo, e selecione Adicionar ou gerenciar contas > Informações da conta ). Clique em Segurança da conta e você verá a opção Verificação em duas etapas . Ele confirmará imediatamente o número de telefone em sua conta ou solicitará um novo e enviará um código de verificação. Ele também avisa que determinados aplicativos não funcionarão com a segunda verificação de login - eles exigirão senhas de aplicativos.
Não há opção de usar um aplicativo autenticador de terceiros. No entanto, a chave da conta do Yahoo é a próxima melhor coisa. Ele espera que você tenha pelo menos um aplicativo criado pelo Yahoo em seu telefone, como o Yahoo Mail. Quando você tenta entrar, você precisa iniciar o aplicativo, então o Yahoo Account Key enviará uma notificação diretamente para ele. Você aperta um botão para confirmar que é você, e pronto — sem códigos ou senhas para digitar.
Se você não tiver um aplicativo do Yahoo em seu dispositivo móvel, o Yahoo pode enviar uma mensagem de texto ou e-mail para você com um código MFA. Quando/se você ativar a chave da conta do Yahoo, o Yahoo desativa a verificação em duas etapas e vice-versa, pois a chave da conta deve ser desativada para permitir a verificação em duas etapas.
Depois de configurar qualquer uma das opções acima, a lista Segurança da conta exibe outra opção: Gerar senha do aplicativo . Quando estiver pronto para acessar os serviços do Yahoo em dispositivos sem suporte direto, você irá aqui para criar a nova senha exclusiva que permitirá o acesso.
Todos os sites com MFA
A lista acima abrange as maiores empresas de tecnologia e algumas que têm acesso importante aos seus dados. Mas se você precisar de uma lista abrangente de praticamente todos os sites ou serviços que oferecem autenticação multifator, completa com instruções para cada um, há uma opção: o Diretório 2FA tem uma ótima lista de sites que o suportam e qual método eles usam para enviar um código (eles chamam um aplicativo autenticador de "token de software" no site.) Eles também fornecem links para a documentação em cada site/serviço sobre como configurar o MFA.