Autenticação de Dois Fatores (2FA)

Definição

💡 Autenticação de dois fatores (2FA): Uma camada de segurança que faz você provar quem é duas vezes antes de acessar seu e-mail. Pense em nome de usuário e senha (algo que você sabe), mais um código do seu celular (algo que você tem). É basicamente como um segurança conferindo seu documento e seu convite antes de deixar você entrar no clube.

O que a 2FA faz?

A questão é a seguinte: senhas são péssimas para proteger seu e-mail. Alguém pode adivinhá-las, roubá-las em um vazamento de dados ou enganar você para entregá-las em um golpe de phishing. E, assim que conseguem sua senha, entram.

A autenticação de dois fatores corrige esse problema ao exigir uma segunda prova de identidade. Mesmo que hackers roubem sua senha, ainda não conseguem acessar sua conta sem esse segundo fator (geralmente um código enviado para seu celular ou gerado por um app autenticador). De acordo com a pesquisa do Google, ativar a 2FA bloqueia 100% dos ataques automatizados de bots e 96% dos ataques de phishing em massa. Não é uma melhoria pequena.

No caso do e-mail, isso importa ainda mais do que o normal. Sua caixa de entrada é a chave mestra para todo o resto. Redefinições de senha, extratos financeiros, documentos de trabalho, conversas privadas. Se alguém entrar no seu e-mail, basicamente pode tomar conta da sua vida digital. De que adianta ter uma senha forte se um único link de phishing acaba com tudo? A 2FA é a fechadura que realmente funciona.

Tipos de 2FA

Você tem várias opções para esse segundo fator, e nem todas são igualmente seguras:

Códigos por SMS são os mais comuns. Você digita sua senha e, em seguida, o serviço envia por SMS um código de 6 dígitos para o seu celular. Simples, funciona em qualquer lugar, mas não é a opção mais segura. Nem de longe. Hackers podem interceptar mensagens SMS por meio de SIM swapping ou ataques de engenharia social contra sua operadora.

Apps autenticadores geram códigos baseados em tempo que mudam a cada 30 segundos (por isso são chamados de códigos TOTP, mas enfim). Apps como Google Authenticator, Authy ou Microsoft Authenticator criam esses códigos offline, o que torna muito mais difícil roubá-los. É isso que a maioria das pessoas de segurança recomenda para proteger sua conta de e-mail.

Chaves de hardware são dispositivos físicos (como a YubiKey, cerca de $25-50) que você conecta ao computador ou encosta no celular. Precisa da opção mais segura? É esta. Elas são as mais seguras porque, literalmente, não há nada para hackers interceptarem. Mas você precisa carregar isso com você, e, se perder, ficará sem acesso até usar seu método de backup.

A autenticação biométrica usa sua impressão digital ou seu rosto para verificar que é você. É bem conveniente no celular, embora tecnicamente isso geralmente seja usado junto com outro fator, em vez de substituí-lo por completo.

A maioria das pessoas começa com códigos por SMS porque são fáceis, depois muda para apps autenticadores quando percebe que SMS não é grande coisa. As chaves de hardware são usadas principalmente por pessoas com necessidades de alta segurança (jornalistas, ativistas, executivos).

Como ativar a 2FA

Configurar isso leva cerca de cinco minutos e varia um pouco de acordo com o provedor.

No Gmail:

• Acesse as configurações da sua Conta do Google em myaccount.google.com
• Clique em Segurança na barra lateral esquerda
• Role até Como fazer login no Google e clique em Verificação em 2 etapas
• Clique em Começar e siga as instruções
• Escolha seu segundo fator (número de telefone para SMS ou app autenticador)
• Salve seus códigos de backup em algum lugar seguro caso você perca acesso ao celular

No Outlook:

• Entre em account.microsoft.com
• Clique em Segurança na parte superior
• Selecione as opções de Segurança avançada
• Em Verificação em duas etapas, clique em Ativar
• Siga o assistente de configuração (geralmente começa com seu número de telefone)
• Baixe o app Microsoft Authenticator se quiser usar códigos gerados por app

No Yahoo Mail:

• Vá para a página Segurança da sua Conta do Yahoo
• Clique em Verificação em duas etapas
• Ative a opção
• Digite seu número de telefone para receber códigos por SMS
• Verifique o código que eles enviarem para você
• Gere métodos de backup caso seu celular pare de funcionar

O Proton Mail, na verdade, segue um processo um pouco diferente, já que segurança é a prioridade deles. Eles oferecem suporte a apps autenticadores TOTP e chaves de hardware, mas deliberadamente não oferecem SMS (porque é menos seguro).

Boas práticas

Use um app autenticador, não SMS. Sim, SMS é mais fácil de configurar. Mas também é mais fácil de sequestrar. Apps autenticadores são realmente mais seguros e quase tão práticos quanto, depois que você os configura.

Salve seus códigos de backup imediatamente. Todo serviço fornece um conjunto de códigos de uso único quando você ativa a autenticação de dois fatores. Tire uma captura de tela, imprima, guarde em um gerenciador de senhas. O que funcionar melhor. Só não pule esta etapa, porque, quando seu celular quebrar às 11pm, você vai precisar deles.

Ative a 2FA também no seu e-mail de recuperação. Se sua conta de e-mail de backup não estiver protegida, hackers podem usá-la para redefinir sua senha e contornar totalmente a 2FA. Acaba meio que anulando a ideia.

Registre vários dispositivos, se possível. A maioria dos serviços permite configurar a 2FA no celular e no tablet. Faça isso. A redundância salva você quando um dispositivo não está disponível.

Não use o mesmo segundo fator em todos os lugares. Se você usa SMS para tudo e alguém fizer SIM swapping com você, poderá acessar todas as suas contas de uma vez. Varie um pouco. Use um app autenticador para contas importantes e SMS para coisas menos críticas.

Revise seus dispositivos confiáveis regularmente. Aquele notebook de trabalho que você devolveu há dois anos? Ainda está na sua lista de dispositivos confiáveis. Vá limpar isso a cada poucos meses.

Conteúdo relacionado

• Privacidade no Spark Email: tudo o que você precisa saber
• Spark apresenta Caixas de Entrada Compartilhadas para Equipes

Termos relacionados

• Autenticação de e-mail
• E-mail de phishing
• Certificado de e-mail
• Conta de e-mail