Artigos

sysblog

Autenticação multi-factor para o dia a dia

Cada vez é mais a informação localizada em sistemas fora do nosso controlo direto. Lojas online, serviços de correio eletrónico, redes sociais, plataformas de gaming e serviços de homebanking são apenas alguns exemplos em que a nossa informação está protegida apenas por um nome de utilizador e uma password. Este artigo refere de que modo podemos implementar uma camada adicional de segurança – a autenticação multifator – no processo de login de modo a proteger melhor a nossa informação, sem custos acrescidos.

A autenticação multifator baseia-se na premissa de que quanto mais mecanismos de autenticação forem utilizados mais fielmente conseguiremos identificar um determinado sujeito e, deste modo, assegurar que os serviços prestados são-no ao sujeito correto e apenas a este. Existem 3 mecanismos que podem ser utilizados para autenticar um sujeito:

  • Algo que este tem – um objeto na posse do sujeito, como um cartão;
  • Algo que este sabe – informação na posse do sujeito, como um PIN ou uma password;
  • Algo que este é – uma característica intrínseca do sujeito, como uma impressão digital ou a sua retina.

Por exemplo, em Portugal, um dos meios de pagamento e transações mais utilizados e de forma totalmente ubíqua é o cartão multibanco que utiliza autenticação multifator com algo que temos – o cartão – e algo que sabemos – o PIN. Sem um ou o outro não será possível realizar transações na rede o que traz uma camada de segurança e confiança adicional a todo o sistema. Embora exista uma perceção de maior fiabilidade pela utilização de sistemas biométricos (p.ex.: leitura de impressão digital ou de retina) estes por si só não asseguram autenticação multifator porque apenas validam um fator – aquilo que somos. Teriam que estar associados a outro mecanismo (p.ex.: um PIN ou cartão) para assegurar a componente multifator.

Em resumo, quanto mais fatores forem utilizados mais garantias existem sobre a identidade do sujeito. Deste modo a autenticação multifator também pode – e deve – ser implementada pelos utilizadores para protegerem o acesso aos seus dados na Internet, seja numa utilização doméstica ou empresarial.

Várias entidades na Internet disponibilizam já autenticação multifator através de um código gerado por uma aplicação num smartphone ou através de um SMS enviado para o telefone. Existem várias aplicações disponíveis para diversas plataformas nas stores correspondentes – iTunes, Google Play ou Microsoft Store, para citar alguns exemplos. Entre as mais usadas contam-se o Google Authenticator, o Authy ou o Azure Authenticator. A utilização destas aplicações e mesmo a receção de SMS habitualmente não acarretam custos para o utilizador, o que na prática significa um aumento da segurança das contas apenas com o custo de mais uns segundos no processo de autenticação.

Alguns exemplos com sites mais conhecidos:

  • Amazon –  a retalhista disponibiliza esta possibilidade mas é necessário ativá-la em Amazon.com ficando depois disponível no acesso aos vários sites regionais (Amazon.co.uk, Amazon.es, etc.). Procure a opção em Your Account -> Settings -> Change Account Settings -> Advanced Security Settings.
  • Apple – A marca da maçã tem vindo a disponibilizar, a partir deste Outono, uma camada adicional de segurança para o ID Apple com um código apresentado automaticamente num dispositivo fidedigno com o iOS 9 ou o OS X El Capitan ou enviado por SMS para um número de telefone em que confia.
  • DropBox – O site de armazenamento de ficheiros permite configurar a autenticação de dois fatores acedendo ao perfil e habilitando essa funcionalidade.
  • Evernote – O conhecido serviço de anotações também disponibiliza autenticação de dois fatores através da utilização de app. Basta configurar as opções de login na secção de segurança.
  • Facebook – A rede social permite o acesso ao site com códigos gerados através da própria app (instalada num smartphone), outra app das já indicadas ou através da receção de SMS. Basta ir à secção Aprovação de acesso nas Definições de Segurança e configurar de acordo com as opções.
  • Google – Basta ativar a Verificação em dois passos acedendo às configurações de segurança e seleccionar como principal forma de receção de códigos a opção Google Authenticator ou outra das disponíveis, como a utilização de SMS. Desta forma é possível proteger o acesso a todos os serviços e informação que dependem de um login no Google como o correio eletrónico, o acesso às fotos no Picasa ou aos ficheiros armazenados via Google Drive.
  • LastPass – O popular gestor de passwords permite reforçar a segurança no acesso às configurações, contas e passwords no seu “cofre” na nuvem através de vários mecanismos. Basta aceder a Definições de conta -> Opções multifator e selecionar e configurar a opção desejada entre as várias disponibilizadas. Utilizadores do serviço gratuito podem escolher entre a utilização de uma app de geração de códigos, a impressão de uma matriz de números ou o envio de mensagens para o telemóvel, de acordo com outros serviços que já utilizem. Para os utilizadores do serviço Premium existem outras opções, incluindo a utilização de biometria.
  • LinkedIn –  a rede social orientada aos profissionais permite aos seus utilizadores a possibilidade de receber um SMS sempre que faça um login. Esta opção é acedida através da opção Configurações e privacidade -> Conta -> Gerenciar configurações de segurança.
  • Microsoft – A proteção adicional de uma conta associada a serviços fornecidos pela Microsoft é tão importante como uma conta associada a serviços do Google pela diversidade de informação e serviços a que se tem acesso, tais como correio eletrónico, Xbox Live, Office 365 entre outros. Para contas Microsoft Live é possível configurar a autenticação multifator acedendo às Definições de Segurança e configurando o modo desejado na seção Verificação em dois passos. No caso de utilização dos serviços empresariais solicite ao seu Administrador de sistemas a ativação da autenticação multifator para acesso à informação e serviços na nuvem.
  • Paypal – O bem conhecido site de gestão de pagamentos online também já disponibiliza aos seus utilizadores realizarem login com um segundo nível de segurança por SMS. Para ativar esta possibilidade basta aceder a Perfil – As minhas definições -> Chave de segurança.
  • Twitter – A rede social de micromensagens também adotou a autenticação multifator por SMS. Para proceder à sua ativação é necessário ativar a opção de verificação de pedidos de acesso através de Configurações -> Segurança e Privacidade.
  • Zoho – o sistema de correio eletrónico também permite a autenticação multifator sendo, desta lista, o único que sugere automaticamente a sua adoção. De qualquer modo basta aceder a Minha conta -> Autenticação de duas camadas. Depois basta selecionar de que modo se processará o multifator – usando uma app ou através de SMS.

A autenticação multifator também se aplica nos casos em que o login num site ou serviço está integrado com um já existente. Por exemplo sites como o Coursera ou o EDX, ambos plataformas de cursos online, permitem autenticação com contas do Facebook ou do Google. Se a opção de autenticação multifator estiver já ativada também se aplicará ao fazer login nestas plataformas.

Nos serviços prestados em Portugal a autenticação multifator ainda não é algo comum na utilização de serviços via Internet, mas temos esperança que isto mude. Alguns serviços da Administração Pública, como o acesso ao Portal das Finanças, já permitem a utilização do Cartão do Cidadão + PIN, mas nem sempre é possível dispor de leitores de cartões ao passo que na banca online é comum a utilização de um segundo mecanismo de autenticação (SMS ou cartão matriz), mas apenas na realização de operações e não como mecanismo de proteção no login ao serviço.

Enquanto não se torna a norma aqui fica uma listagem de serviços na Internet que suportam autenticação com dois fatores, entre os quais estão alguns já bem conhecidos. Esta listagem contempla serviços de backup na nuvem, banca online, moeda virtual, jogos e correio eletrónico entre outras categorias.

Autor: Jorge Pinto @ SysValue