Melhorando a segurança dos seus serviços com 2FA - Two-factor authentication.

Nenhum comentário

https://www.eff.org/files/2016/12/08/2fa-1.png


Os últimos acontecimentos de vazamentos de mais dados pessoais demonstram que cada vez mais precisamos ficar atentos aos nossos dados, e hoje quase todos eles estão distribuídos por diversos serviços hospedados em sistemas de cloud - nuvem. 

No entanto, poucos usuários “comuns” tem noção de que uma simples ação pode trazer para estes serviços uma outra camada de proteção, implementando um pouco mais de segurança e deixando o usuário mais tranquilo sobre a segurança dos seus dados.

Disponível na grande maioria dos serviços mais populares hoje na Internet, o duplo fator de autenticação ou 2fA como é conhecido, é uma camada de proteção adicional que vai exigir do usuário, que além de entrar com as informações sobre usuário e senhas, também deva incluir mais um parâmetro para permitir o *login* e este parâmetro é um código de 6 dígitos gerado randomicamente por meio de um aplicativo, muitas vezes instalado em seu *smartphone*.

Mas afinal o que é um duplo fator de autenticação ? A forma tradicional com que os usuários hoje fazem login em sistemas permanece o mesmo desde os primeiros anos da informática, onde para que um usuários possa usar as funcionalidade de um sistema ele tenha que se identificar e se autentica para um sistema, isso permite que o sistema identifique e consiga determinar se aquela pessoa que esta tentando usar a aplicação tem mesmo permissão e direito de usar.

Para que o sistema possa identificar se um usuário esta realmente permitido a usar um sistema, ele deve apresentar ao sistema suas credenciais, e até hoje, a credencial mais usada ainda é a dupla usuário/senha. 

Sistema que permitem o uso de um segundo fator de autenticação são notadamente mais seguros, pois além de exigir a entrada dos dados de um usuário e um a senha válida, também lança um novo desafio ao usuário, esperando que este possa responder a este desafio. 

Caso o usuário consiga responder a este desafio, com a apresentação de uma resposta esperada pelo sistema é permitido o seu acesso. Neste processo, mesmo que a senha do usuário seja comprometida, para que um atacante tenha acesso ao sistema ele terá que fornecer uma outra informação, agora um código que muda a cada 60 segundo e esta de posse do dono da conta, portando é muito difícil, quase impossível de ser adivinhado pelo atacante.

Este processo, chamado de autenticação por duplo fator de autenticação usa um conceito de autenticação baseado no princípio de de que o usuário além de apresentar alguma coisa que ele conhece (senha) agora deve apresentar uma outra resposta, que ele possui. 

Falamos aqui sobre a forma como o usuário pode gerar a senha por meio de um aplicativo instalado em seu *smartphone* mas este sistema também pode ser implementado usando SMS ou mesmo um hardware especial para auxiliar neste processo.

Apesar de parecer complicado, o processo é bem simples, e pode ser acionado pelo próprio usuário de forma fácil e simples nos sistemas que suportarem esta funcionalidade. A instalação do app que proporcionará esta funcionalidade, o Google Authenticator, pode ser baixado diretamente das lojas dos sistemas Android e iOS. Depois de instalado no seu *smartphone* basta apenas habilitar a funcionalidade no sistema que estiver querendo usar, o Facebook por exemplo, e a cada vez que for fazer o *login* no sistema, será pedido um código que deve ser conseguido diretamente no app instalado no seu *smartphone*. 

Este processo pode parecer um processo chato mas, pode ser a diferença entre ter o seus dados vazados ou não na Internet.

Pensando nisso, estou criando um série de artigos que vai trazer a forma de habilitação deste funcionalidade em alguns dos principais serviços disponíveis na Internet, serviços como GMAIL, DropBox, Twitter, Facebook e outros. Se você esta curioso para saber se o seu sistema suporta esta funcionalidade e não quer esperar pelos próximos artigos, pode acessar o seguinte endereço https://twofactorauth.org/ e verifique se o seu sistema esta presente na lista de sistemas suportados.

Acompanhe nas próximas semana os novos artigos que vão trazer estes serviços e suas configurações de segurança, e espero que isso possa facilitar a forma como você pensa e trata a segurança dos serviços que vicie usa. Mas, para chegarmos nos próximos artigo já um pouco mais preparados, seu dever de casa vai ser instalar o Google Authenticator par ao seu sistema preferido, Android ou iOS. Isso é bastante simples, basta ir até a loja de seu sistema e buscar pelo Google Autheticator e instalar.

Nos vemos nos próximos artigos.

Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.