A segurança dos dados de acesso a serviços como redes sociais ou comércio electrónico é uma das coisas mais importantes a que poucos ligam. E os hackers estão sempre à espreita para tentarem adivinhar como entrar nas contas quer por simples voyeurismo, quer para roubar a identidade para fins muito mais obscuros.
Uma das soluções mais evidentes para este problema é alterar as palavras-chave regularmente. Mas, sejamos honestos, quantos de vocês é que o fazem. A sério…
Por isso, os especialistas em segurança arranjaram uma forma de manter as contas dos utilizadores um pouco mais seguras através de um sistema chamado autenticação de dois passos (ou de dois factores). Simplesmente este sistema pede uma confirmação ao utilizador que é realmente ele que está a inserir os seus dados de login num determinado serviço. Esse pedido pode ser feito quando o endereço IP do cliente é diferente do usado habitualmente, o que pode indicar uma mudança de localização ou de dispositivo. Ou sempre. Tudo depende da configuração e do serviço que está a ser utilizado. Se o utilizador não confirmar que é ele mesmo que está a tentar entrar, o acesso será negado.
A confirmação que utilizador tem de inserir pode assumir várias formas: através de um código numérico, ou alfanumérico, recebido por SMS ou email, através de uma app geradora de códigos que pode ser genérica ou incluída na app móvel do serviço que o utilizador quer usar ou ainda através de uma confirmação simples, que chega ao utilizador através de uma notificação de uma app móvel ligada ao serviço que o utilizador quer usar.
As aplicações genéricas para geração de códigos mais conhecidas são o Autenticador da Google e o Autenticador da Microsoft, que são gratuitas e estão disponíveis para Android e iOS.
Também podem ser considerados sistemas de autenticação de dois factores os sistemas de reconhecimento biométrico que hoje em dia já são norma nos dispositivos móveis, como os sensores de impressões digitais ou o mais recente Face ID da Apple.
Um dos únicos problemas com estes sistemas de autenticação de dois passos surge quando utiliza um serviço com um sistema destes em conjunto com uma aplicação que não o suporta. Como por exemplo a combinação entre o Outlook e o Gmail. Nestes casos terá de criar uma coisa que se chama uma palavra-chave de aplicação, uma password que é gerada através do site do serviço, que serve apenas para ser usada com uma aplicação específica.
O nosso conselho é: se o serviço oferecer um qualquer sistema de segurança de autenticação de dois passos, ligue-o. Sempre que alguém conseguir adivinhar a sua password receberá um aviso a indicar que se estão a tentar ligar de outro dispositivo ou localização e assim fica a saber que terá de tomar medidas, como mudar a password.
Aqui fica uma pequena lista de serviços online que oferecem sistemas de autenticação de dois passos:
Serviços Google
Proteger o login no Google é uma das coisas mais importantes que deve fazer. Isto porque quem tiver acesso à sua conta Google terá automaticamente acesso a tudo o que está ligado a ela, como a sua conta de Gmail, Youtube ou, se fizer compras nas várias lojas da empresa, aos detalhes do seu cartão de crédito. A Google é das empresas pioneiras nos sistemas de autenticação de dois passos visto que os disponibiliza desde 2010.
O sistema da Google gira todo à volta do seu smartphone. Quando insere uma password na sua conta Google, se a verificação de dois passos estiver ligada, a empresa oferece-lhe várias formas de obter a verificação: Google Prompt – Se tiver a aplicação da Google no seu smartphone, o Google Prompt apenas lhe pergunta se é mesmo você que está a tentar entrar. Ao tocar em ‘Sim’, o sistema dá-lhe acesso ao serviço. Se o primeiro sistema não funcionar, pode pedir ao Google que lhe envie um SMS com um código que terá de inserir, também há a opção de receber um telefonema automático. Existe ainda a aplicação de autenticação da Google. Se registar o computador que está a usar na sua conta Google, o sistema deixará de lhe pedir códigos.
A aplicação Autenticador da Google serve para gerar um código de autenticação que tem apenas alguns segundos de vida. Esta aplicação funciona mesmo que o smartphone não esteja ligado à Internet. Antes de poder usar a aplicação terá de ter o sistema de autenticação de dois passos ligado na sua conta Google. Use a app para digitalizar um código QR que aparece no seu ecrã para emparelhar a aplicação com a app no seu telefone. A utilização desta aplicação substitui o envio do código por email, SMS ou chamada de voz. Esta aplicação funciona com outros serviços como LastPass, WordPress, Facebook, Evernote, Microsoft, IFTTT, Dropbox e Amazon.
Depois de configurar a autenticação de dois passos, aceda às configurações de segurança da sua conta Google para escolher os números de telefone que podem receber códigos, mudar para aplicação de autenticação e aceder e imprimir os 10 códigos pré-definidos que servem para quando não tem mesmo outra forma de autenticar o seu acesso.
Neste ecrã pode também gerar passwords para aplicações.
Perder a password do Facebook para alguém é outra daquelas situações potencialmente catastróficas, quanto mais não seja pela quantidade de serviços em que usa o login da rede social que ficam igualmente comprometidos. A rede social desde há alguns anos que oferece um sistema de autenticação de dois passos que pode (e deve!) ser ligado através da página ‘Segurança e inicio de sessão’ das definições. Para aceder às definições, clique no triangulo que está à direita na barra azul de topo e depois em ‘Definições’. Para ligar o sistema, no separador ‘Segurança e inicio de sessão’ clique em ‘Editar’ junto a ‘Autenticação de dois fatores’. Depois é só clicar em ‘Ativar’.
Quando liga o sistema, a definição por defeito implica a utilização do gerador de códigos que está incluído na aplicação móvel do Facebook. Pode também receber os códigos por SMS, se o seu número de telefone estiver inserido na sua conta, e pode também criar passwords para aplicações específicas. Como curiosidade, através deste ecrã pode também ver que dispositivos e quando é que se ligaram à sua conta de Facebook.
Opções:
Aplicação do Facebook – Para utilizar a aplicado Facebook para autenticação de dois passos, entre na sua conta de Facebook a partir de um computador onde nunca tenha entrado na rede social. Quando aparecer o pedido de um código, abra a aplicação do Facebook no seu smartphone, toque no ícone com as três linhas para entrar no menu, procure ‘Gerador de códigos’, dê um toque em cima dessa opção e insira o código numérico que aparece no ecrã. Note que tem apenas alguns segundos para o fazer. Se não for a tempo terá de inserir o novo código que aparece no ecrã.
Gerador de códigos de terceiros – O Facebook é compatível com gerador de códigos do Google por isso também pode usar. Para o configurar aceda à página ‘Segurança e inicio de sessão’, depois no espaço ‘Autenticação de dois fatores’ clique em ‘Editar’ e depois clique em ‘App de terceiros’. Isto vai fazer aparecer uma janela com o QR Code que terá de digitalizar com a app Autenticador da Google para ligar o seu Facebook à aplicação. Depois de tudo certo, cada vez que tentar entrar no Facebook através de um computador desconhecido ser-lhe-á pedido um código que está na app Autenticador.
SMS – Se preferir receber um SMS com o código adicione o seu número de telemóvel à sua conta de Facebook.
Código de recuperação – Todas as opções anteriores requerem o uso do smartphone, mas quando activa autenticação de dois passos, pode também imprimir 10 códigos para quando não está com smartphone por perto. Estes códigos são obtidos no mesmo separador onde se configura o sistema.
Passwords de aplicações – Se utiliza aplicações de terceiros que requerem o login no Facebook e não são compatíveis com o sistema de autenticação de dois passos, pode criar passwords de aplicações que ultrapassam os pedidos de inserção de códigos.
O Instagram começou a ter autenticação de dois passos a partir de 2016. Para a ligar aceda a ‘Definições’ e depois a ‘Autenticação de dois factores’. Ligue a opção ‘Exigir código de segurança’ e adicione o seu número de telefone. Depois irá receber um código de confirmação por SMS, insira-o para ligar o sistema.
A app mostra-lhe de seguida cinco códigos que poderá usar para desligar o sistema. Tire um screenshot para poder guardá-los para utilização futura. Agora, sempre que usar app noutro dispositivo receberá um código para a poder usar.
O WhatsApp oferece um sistema de comunicação completamente encriptado, o que o torna um pouco mais seguro que outros, mas também inclui um sistema de autenticação de dois passos que deve ligar para ter a certeza que ninguém acede à sua conta.
Para o ligar aceda às definições da app, depois a ‘Conta’ e depois a ‘Verificação de dois factores’. Clique em ‘Ligar’. De seguida a pp vai pedir-lhe um pin de seis dígitos para poder registar o seu telefone no serviço. Também terá de inserir um endereço de email, caso necessite de fazer um reset ao sistema. Assim que estiver tudo configurado, cada vez que usar o WhatsApp noutro smartphone receberá um SMS com um código que deve inserir em conjunto com o PIN para desbloquear a utilização da app.
A verificação de login do Twitter pode ser ligada tanto através da app, como através do website. O Twitter permite ao utilizador definir o método de recebimento dos códigos que pode ser através de SMS ou através de uma aplicação de geração de códigos como as da Google ou Microsoft.
Para ligar a verificação de login na versão para browser clique na sua imagem de perfil que aparece no canto à direita, depois escolha a opção ‘Definições e segurança’ no menu. Na página que aparece existe uma zona com a denominação ‘Segurança’ onde pode ligar a verificação de login.
Por defeito, quando liga o sistema, o Twitter reverte para o modo SMS, se o quiser manter basta inserir o seu número de telefone. Depois recebe um código de confirmação. Insira-o para ligar o sistema. Depois de configurar o sistema através de SMS, pode alterá-lo para usar uma aplicação de geração de códigos. Para tal, no mesmo ecrã de configuração ‘Definições e segurança’, clique em ‘Rever métodos de verificação de login’. Na janela que aparece clique em ‘Editar’ junto a ‘App móvel de segurança’. A seguir aparece uma janela com um QR-Code, use a sua app de geração de códigos do Google ou Microsoft para digitalizar o código. Por fim, o Twitter vai pedir-lhe para inserir o código que aparece no ecrã da app para confirmação.
O Twitter permite ainda gerar passwords para aplicações que apenas podem ser usadas uma vez. Isto serve para, por exemplo, se quiser usar a sua conta de Twitter para se registar ou usar um serviço, mas não quer inserir os seus dados de login reais da rede social. Para gerar uma password, cliquem ‘Gerar password para app’, ser-lhe-á pedida a sua password do Twitter. De seguida aparece uma janela com a password gerada. Tem uma hora para a usar até ficar inválida.
Serviços Apple
Se utiliza um dispositivo Apple, seja computador, smartphone ou tablet, tudo gira à volta do Apple ID que serve para fazer compras na loja, gerir passwords, a segurança dos seus dispositivos e os backups entre muitas outras coisas. Por isso é imperativo que o login para a sua conta Apple esteja o mais seguro possível.
Para activar a autenticação de dois passos aceda à página My Apple ID, faça login com os dados do seu Apple ID. Clique em ‘Segurança’, ‘Autenticação de dois passos’ e, por fim, em ‘Iniciar’. Isto vai levá-lo para uma série de passos para configurar o sistema tanto em MacOS como em iOS. Não é possível fazê-lo através do browser ou noutro sistema operativo, como o Windows. No iOS aceda a ‘Definições’, iCloud, insira os seus dados, toque na seta junto a Apple ID, ‘Password e Segurança’, ‘Ligar Autenticação de dois passos’. No MacOS aceda às ‘Preferências de sistema’, ‘iCloud’, insira os seus dados, ‘Detalhes da conta’, ‘Segurança’, ‘Ligar Autenticação de dois passos’.
Terá de responder a duas ou três perguntas de segurança e voltar a confirmar os dados do cartão de crédito para aceder à configuração do sistema. Depois terá de inserir um número de telefone válido para receber o código de confirmação através de SMS ou de uma chamada de voz. Se estiver a configurar o sistema no smartphone que está a usar, o código quando chega é inserido automaticamente. Se não for o caso, terá de o inserir manualmente.
Serviços Microsoft
Ainda sou do tempo que, na Microsoft, cada serviço tinha uma password diferente, mas desde há alguns anos que a empresa resolveu acabar com esta confusão e colocou todo os serviços debaixo de um único login. Isto é muito conveniente, mas também gera alguns problemas de segurança visto que quem tiver acesso a esses dados de login, terá acesso a todas as suas contas para os serviços da Microsoft. Incluindo o Windows, a XBox Live, Office 365 ou email do Outlook. Por isso é imperativo que ligue o sistema de autenticação de dois factores da Microsoft.
Para o ligar aceda à página account.microsoft.com/profile e faça login. Na barra de topo clique em ‘Segurança’. Na página seguinte clique em ‘Mais opções de segurança’. Procure a ‘Verificação de dois passos’ e ligue-a.
A Microsoft aconselha os utilizadores a usarem a sua própria aplicação de geração de códigos que encontra aqui para iOS e aqui para Android. Esta aplicação também funciona com os serviços que permitem a utilização da app de geração de códigos da Google. E, tal como quando está a configurar a app da Google terá de digitalizar um código QR para ligá-la à sua conta.
Se não quiser usar a aplicação, pode optar pelos outros métodos, como o email e SMS para receber os códigos de confirmação sempre que tenta entrar na sua conta a partir de um dispositivo desconhecido. No caso do SMS, cada vez que necessitar de receber um código, tem obrigatoriamente de inserir os últimos quatro dígitos do seu número de telefone.
No final da configuração, receberá um código de segurança, que serve para desbloquear o sistema se não conseguir usar o sistema de autenticação de dois passos, composto por 25 dígitos. Guarde-o num sítio seguro. O sistema da Microsoft permite-lhe definir dispositivos confiáveis que dispensam a inserção dos códigos como PC com Windows 10 ou consolas XBox. Estes dispositivos são os que estão ligados à sua conta Microsoft. Se quiser incluir, ou excluir, algum da lista, aceda às definições de segurança e clique nas caixas junto à designação de cada um. A Microsoft remove automaticamente da lista os dispositivos que não usa ao fim de dois meses.
Amazon
Usar o sistema de autenticação dupla na Amazon é altamente aconselhável porque estão lá os dados do seu cartão de crédito e qualquer pessoa pode fazer compras em seu nome muito facilmente em qualquer loja Amazon no mundo porque o mesmo login funciona em todas as lojas.
Faça login na sua conta e aceda a ‘My Account’, ‘Login & Security’ e clique em ‘Edit’ junto a ‘Advanced Security Settings’. Clique em ‘Get started’ para iniciar o processo de configuração do sistema de autenticação de dois passos. O sistema é o mesmo de outros casos anteriores: pode usar a app de geração de códigos da Google ou da Microsoft para digitalizar um QR code e assim ligá-la à sua conta da Amazon.
Tal como na Microsoft, a Amazon também lhe deixa criar uma lista de dispositivos confiáveis em que deixa de ser necessário inserir um código quando faz login. Isto pode ser definido no último passo de configuração do sistema.
Se tiver um dispositivo que não tem a capacidade pedir a inserção de códigos de segurança, pode acrescentar o código no final da password sem espaços (por exemplo: teste123456).
No Linkedin apenas se podem utilizar códigos enviados por SMS. Para ligar o sistema aceda à sua página na rede social. Clique em ‘Eu’ para ver o menu, depois em ‘Definições & segurança’, ‘Privacidade’. No final da página está a secção ‘Segurança’. Clique em ‘Alterar’, insira o seu número de telefone. Depois o processo é o mesmo que noutros serviços: recebe um código que terá de inserir para que o serviço o identifique.
Snapchat
Como o Snapchat é um serviço apenas móvel tudo tem de ser feito através da app. Abra a app, toque no ícone do seu avatar no topo do ecrã para aceder ao ecrã da sua conta. Toque no ícone da roda dentada para aceder às definições.
Toque na linha ‘Verificação de login’ e depois em ‘Continuar’ na página que surge com o aviso de segurança. Irá receber uma mensagem de texto com um código. Insira-o no ecrã seguinte para verificar o seu dispositivo.
Pode também usar uma aplicação como o Google Authenticator. Neste caso, como quase de certeza, que estará a usar as duas apps no mesmo dispositivo, se o Snapchat não a detectar automaticamente, terá de configurar o código à mão porque não vai conseguir digitalizar um QR-Code no mesmo dispositivo que o está a mostrar.
A autenticação de dois passos só apareceu no Pinterest no ano passado, por isso de certeza que, se já tem uma conta, não deve ter o sistema ligado.
Para o ligar aceda às definições da conta e depois clique em ‘Segurança’. Ligue a opção ‘Exigir código’. Pode optar por receber os códigos através de SMS ou através da app Authy que pode descarregar aqui para iOS e aqui para Android. Esta é a única app de geração de códigos suportada.
Dropbox
Para ligar a verificação de dois passos no Dropbox, aceda à sua conta através do browser, clique na imagem ao lado do ícone do sino, depois clique em ‘Configurações’. Clique em ‘Segurança’ e depois ligue o interruptor junto a ‘Verificação de dois passos’. Pode definir que quer receber os códigos através de SMS ou através de uma aplicação de geração de códigos. Se optar pela segunda, terá de usar a app para digitalizar o código QR.
Loja Steam
A loja Steam também tem um sistema de autenticação de dois passos com gerador de códigos que funciona exclusivamente através da sua app móvel. Em alternativa pode também receber códigos por email.
Para configurar o sistema instale app do Steam no seu smartphone. Depois de instalada, active-a e toque no ícone com três linhas no campo superior esquerdo, entre na sua conta, depois em ‘Steam guard’, Definições. Aqui pode escolher entre receber os códigos no telefone ou por email.