Qual tecnologia de 2FA é a melhor ?

Qual tecnologia de 2FA é a melhor ? O 2FA é uma camada extra de segurança usada para garantir que as pessoas que tentam obter acesso a uma conta online sejam realmente quem dizem ser. Primeiro, um usuário digitará seu nome de usuário e senha. Então, em vez de obter acesso imediato, eles precisarão fornecer outra informação complementar, chamado de segundo fator de autenticação ou 2FA – Two Factor Authentication.

Esse segundo fator pode vir de uma das seguintes categorias:

  • Algo que você conhece: pode ser um número de identificação pessoal (PIN), uma senha, respostas a “perguntas secretas” ou um padrão de pressionamento de tecla específico.
  • Ter algo em sua posse: pode ser um cartão de crédito, um smartphone ou um pequeno token de hardware.
  • Algo que você é: essa categoria é um pouco mais avançada e pode incluir um padrão biométrico de impressão digital, de íris ou de voz com 2FA ,

Um potencial comprometimento de apenas um desses fatores não desbloqueará a conta. Assim, mesmo que sua senha seja roubada ou seu telefone perdido, as chances de alguém ter suas informações de segundo fator são altamente improváveis. Olhando de outro ângulo, se um consumidor usar 2FA corretamente, os websites e os aplicativos poderão ter mais confiança na identidade do usuário e desbloquear a conta.

 

Tecnologias 

Podemos olhar para segurança como um conceito multidimensional. Pessoas tomam decisões de segurança baseadas no valor ao qual elas querem proteger, os perigos para o bem, a probabilidade desses perigos, e o trade-off que a inconveniência da perda pode trazer.

Se você é como a maioria das pessoas, você vai escolher uma fechadura com chave para sua casa, um cadeado com combinação para seu armário da academia; o valor das coisas da sua casa valem mais, a ameaça de roubo em sua academia é menor, e você prefere a conveniência de não ter que carregar uma chave extra quando vai à academia.

Vamos além da lógica, a 2FA (2 Factor Authentication) usada para proteger conta de caronas compartilhadas como a Careem, tem que ser segura suficiente para este fim diferentemente  do tipo de mecanismo necessário para proteger a conta de Bitcoin. No primeiro caso tem menos valor; tem menos créditos, com créditos restritos apenas para compartilhamento de carona, já no segundo temos um valor monetário agregado muito maior e com muito mais atrativo à hackers especializados.

Podemos expandir esse argumento para o cenário hipotético no qual um provedor web diminui sua proteção de segurança para “zero”, e ainda assim diz que vai devolver qualquer crédito roubado. A política de devolução transfere todos os riscos do usuário para o próprio provedor web, e garante ao usuário segurança apenas local, mesmo não tendo uma real segurança. Isso aumenta o risco e o potencial de perda devido a devolução de créditos, mas pode ser bom, devido ao aumento em receitas por parte de novos usuários entrantes. Uma pessoa pode facilmente argumentar que em um cenário de autenticação de dois fatores por SMS, qualquer perda por conta de devolução de créditos é superada pelo crescimento de receita de novos usuários.

Nessa situação de ganha-ganha para ambos o provedor web e usuários, quem vai dizer que a autenticação de dois fatores por SMS está obsoleta?

A autenticação de dois fatores por SMS também oferece algo único – permite que o serviço web verifique o usuário, e também adquire uma identidade única para o usuário (número de telefone) em uma tacada só. Isto, agora é questionável a luz da lei de privacidade, mas permite ao provedor web um canal confiável para ganhar a atenção das pessoas. É mais provável que uma pessoa leia um SMS do que uma notificação de app, e diferente dos apps, o número de telefone provavelmente continuará o mesmo independente da troca de aparelho de telefone.

Dentro deste raciocínio de adaptabilidade ao risco, temos outras soluções que oferecem maior ou menor custo, facilidade para o usuário e segurança. entre eles vamos abordar abaixo os prós e contras do uso do SMS, eMail, Push, Software OTP, QRCode, Voice Recongnition

Antes que o leitor, pergunte por que o nosso estudo abaixo não incluiu todas as tecnologias relacionadas, é bom esclarecer que o objetivo deste artigo não é estudar todas as formas disponíveis de 2FA, mas sim trazer ao leitor uma visão de usuário final, consumidor e não do usuário corporativo. Assim, não vamos abordar por exemplo o hardware OTP porque devido ao custo e ao fator da pouca adaptabilidade do usuário, que deve carregá-lo para onde quer que vá, está caindo cada vez mais em desuso. O mesmo aplica-se ao smartcard, que  também é uma boa opção de 2FA, mas tem também um custo elevado, sendo recomendado para situações mais específicas fugindo do nosso objetivo aqui.

 

Veja também:

SMS, eMail, Push ou Software OTP ?

Quando usar SMS

Uma das principais preocupações de muitas empresas é avaliar a melhor técnica de comunicação para aumentar o engajamento do cliente. Como convencer os clientes a interagir com o seu produto da maneira mais contextual? E-mail, notificações Push e SMS são métodos populares de comunicação com os clientes, mas pode ser complicado discernir quando usar o que, embora mantendo um bom equilíbrio de entregar a informação certa no momento certo – tudo sem parecer spam.

Segundo o site The Next Web, já em 2015 o celular se tornava a plataforma de comunicação de maior impacto devido ao seu enorme crescimento nos últimos cinco anos, registrando uma impressionante taxa de penetração de 85% com apenas a Geração Y sozinha. A capacidade de alcançar clientes diretamente em seus smartphones pode ajudar a aumentar a visibilidade, desde que seus dispositivos estejam ligados.

Para manter os clientes voltados ao seu aplicativo, seus métodos de comunicação devem fornecer o maior valor possível a qualquer momento. Então, quais são os benefícios de cada meio?

O The Next Web afirma que cerca de 90% notificação por SMS são lidos nos primeiros três minutos da entrega. Esse canal de mensagens deve ser usado para fornecer informações críticas de negócios para fornecer uma experiência de usuário superior a seus clientes. O envio de um SMS quando a entrega está chegando ou quando o item está pronto para coleta mantém os clientes informados e permite que eles se sintam mais à vontade.

Além de informações contextuais importantes, a API de SMS pode ser usado para permitir a comunicação bidirecional entre empresas e seus usuários em um ambiente confortável e sem complicações. Ao fornecer um canal de comunicação que é familiar aos usuários, as empresas podem interagir com seus clientes nos termos deles. A combinação de uma alta taxa de engajamento (abertura e leitura) e alcance global também torna o SMS uma opção atraente para a autenticação do usuário. Cenários como verificação de números e dois fatores são usos primários para SMS, pois podem alcançar todos, em qualquer lugar, de maneira familiar.

Pelas características descritas acima,  principalmente relativo a urgência, facilidade e velocidade, o SMS configura-se uma boa opção no uso do segundo fator de autenticação.

Quando não usar SMS

O SMS não é recomendável para informações que o usuário precisará consultar posteriormente, como recibos ou códigos de confirmação. Em comparação com os e-mails, os SMS são mais fáceis de excluir e mais difíceis de pesquisar. Qualquer informação enviada por SMS deve ser prontamente acionável em um curto espaço de tempo. Por fim, o SMS só pode conter no máximo 160 caracteres, o que limita a quantidade de informações comunicadas ao usuário. O SMS deve ser usado principalmente para informações críticas que exigem que o usuário execute uma ação, como notificações, alertas, autenticação de dois fatores etc.

 

Quando usar eMail

O e-mail deve ser usado ao comunicar informações básicas que não são sensíveis ao tempo. Use o email para coisas que os usuários precisam voltar em algum momento. Isso inclui inscrições, confirmações, códigos de referência, pedidos e recibos bem-sucedidos.

Qualquer coisa relacionada à conta e mudanças no serviço também deve ser comunicada via e-mail. Realizações ou marcos importantes para o usuário também podem ser enviados por e-mail, pois eles podem mantê-los como reconhecimento e alertas de datas importantes.

Em caso de dúvida, pergunte a si mesmo: “o usuário precisará disso em algum momento da linha de tempo?” Se a resposta for sim, envie um email.

Quando não usar o eMail

O e-mail não deve ser usado para itens acionáveis ​​urgentes. O Zipstripe descobriu que o tempo médio para os destinatários (principalmente não corporativos) visualizarem uma mensagem de e-mail é de até 6,4 horas. Com isso em mente, não seria apropriado notificar as pessoas via e-mail de que a entrega de alimentos ou o meio de transporte chegou, pois eles podem não ver a notificação a tempo. Promoções com um período de resgate apertado, por ex. Algumas horas, também não devem ser entregues por e-mail, pois o usuário pode não ver a mensagem a tempo.

Pelas características expostas, referente a temporalidade, não é recomendado o uso do segundo fator de autenticação por email. o email pode e é muito utilizado par o envio da primeira senha de acesso, que deve ser trocada no primeiro acesso do usuário ao sistema, porém a partir daí o uso não é recomendável.

 

Quando usar Push

As notificações por push funcionam enviando uma mensagem para o centro de notificações ou a barra de status do smartphone do usuário e é a maneira padrão de comunicação para aplicativos em smartphones. É considerado menos intrusivo do que o SMS porque pode ser exibido na tela do usuário sem interromper a atividade atual e nunca incorrerá em um custo para o usuário.

Isso também torna mais fácil para o desenvolvedor do aplicativo, já que os usuários optam automaticamente por enviar notificações ao baixar o aplicativo. No entanto, ainda é necessário tomar cuidado ao enviar notificações push, pois o usuário pode revogar as notificações por push da permissão de aplicativos.

As notificações por push devem ser usadas quando um evento ou atividade significativa ocorrer no aplicativo que exija que o usuário execute uma ação ou seja uma informação sensível ao tempo que beneficiará os usuários. Os exemplos incluem mensagens de outros usuários, lembretes de determinadas tarefas, novos conteúdos no aplicativo e ofertas especiais.

Quando não usar o Push

Como o SMS, as notificações por push não devem ser usadas para informações que o usuário precisará fazer referência posteriormente. A natureza efêmera das notificações push significa que elas desaparecerão assim que o usuário passar para a esquerda ou limpar suas notificações. É o mais fácil de todos os três meios para apagar após a leitura.

As notificações push também não devem ser usadas para promover produtos de terceiros, mesmo aqueles que fazem parceria com seu aplicativo, pois serão vistos como muito intrusivos e irrelevantes.

Embora exista várias iniciativas, não é comum o uso de Push para autenticação de usuários ou como duplo fator de autenticação.

 

Quando usar o Software OTP

Tokens de software para 2FA é a  forma mais popular de autenticação de dois fatores nos dias atuais (e uma alternativa preferencial para o SMS) usa uma senha única baseada em tempo, gerada por software (também chamada de TOTP ou “soft token”).

Primeiro, um usuário deve baixar e instalar um aplicativo 2FA gratuito em seu smartphone ou desktop. Eles podem usar o aplicativo em qualquer site que suporte esse tipo de autenticação. No login, o usuário primeiro insere um nome de usuário e uma senha e, quando solicitado, insere o código exibido no aplicativo.

Assim como os tokens de hardware, o token de software é normalmente válido por menos de um minuto. E como o código é gerado e exibido no mesmo dispositivo, os soft-tokens removem a chance de interceptação de hackers. Essa é uma grande preocupação com os métodos de entrega de SMS, Push e eMail. O melhor de tudo, já que as soluções 2FA baseadas em aplicativos estão disponíveis para plataformas móveis, wearables ou desktop – e até mesmo funcionam offline – a autenticação do usuário é possível em praticamente todos os lugares.

Existem vários Software OTP gratuitos, mas os mais conhecidos são o Google Authenticator e Authy .

Quando não usar o Software OTP

Praticamente não há contra indicação no uso do Software OTP, porém seu uso requer que o usuário instale o dispositivo em seu equipamento e o registre no aplicativo web que o requer. O problema reside na ocorrência de perda, roubo ou quebra do equipamento, pois neste casos softwares como o Google Authenticator não oferece backup dos relacionamentos e os usuário deve ir site a site onde tenha ativado o Software OTP e seguir um processo, nem sempre tão amigável, para desativar o “link” que havia sido feito com o anterior e reativar em outro equipamento.

Além do cuidado com a restauração do Software OTP, cuidados também devem ser adicionados para limitar o acesso ao Software Token, a fim de não comprometer a sua eficácia.

 

Quem usa o que?

Uma site que pode ser uma ótima fonte de consulta para interessados em estudar o uso das tecnologias nos diversos sites da internet, de forma categorizada, quais tecnologias tem sido adotadas por cada empresa é o site  Two Factor Auth (2FA) . O site tem a “carinha abaixo”:

Clicando em cada categoria abre uma segunda página com a indicação da tecnologia usada por cada site. como exemplo reproduzimos parte da lista de sites na categoria de email e quais as tecnologias estão disponíveis.

 

Deixo aqui esta breve reflexão, que com certeza não encerra em si só este estudo, mas oferece ao leitor um pouco de conceito e referências  que podem ser aprofundadas em novas pesquisas e artigos.

Deste modo quero deixar o convite para que você deixe seu comentário no espaço Deixe sua opinião!  ao final da página e convido-o a escrever um artigo, sobre o tema que desejar, e nos enviar para que possamos divulgar e fomentar o conhecimento e trabalhos de todos na nossa área profissional. O Minuto da Segurança, não é um site meu, da Mindsec, ou de qualquer outro colaborador, o Minuto da Segurança é de todos e para todos que possuem interesse pela área de Segurança da Informação.

Espero de alguma forma ter sido útil !

Grande abraço e até o próximo artigo!

Por:  Kleber Melo  – Sócio Diretor do Minuto da Segurança e da MindSec Segurança e Tecnologia da Informação

 

Fonte: RingCaptcha ; The Next Web ; Authy ; Two Factor Auth (2FA)

 

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Tendências de Malwares segundo a Fortinet
  2. FBI e DHS alertam sobre o crescente número de ataques RDP
  3. Milhões de dados comprometidos por Startup de Inteligência
  4. Google+ expõe dados de usuários através de APIs mas não divulgou
  5. Amazon demite funcionário que vendia informações de clientes
  6. Tecnologias que podem ajudar a manter a sua privacidade

Deixe sua opinião!