A autenticação de dois factores (2FA, em inglês) acrescenta uma camada-extra de protecção a contas online. Mas, na prática, este recurso de segurança pode tornar-se cansativo de usar: temos de esperar que um código de verificação nos seja enviado por SMS ou e-mail, sendo que depois ainda é preciso digitá-lo nos sites. Como alternativa, há vários métodos de autenticação, igualmente seguros (e até mais) e menos incómodos – neste guia, mostramos-lhe quatro deles.
Iniciar sessão com autenticação push
A autenticação que aparece sob forma de notificação (‘push authentication’, em inglês) é uma forma rápida e segura de iniciar a sessão em sites e serviços online. Em vez de esperarmos por um código de verificação, basta tocar num botão que aparece no smartphone para confirmar que queremos aceder às nossas contas.
As notificações são limitadas no tempo e, ao contrário dos códigos SMS, a comunicação entre o site e o nosso dispositivo é encriptada e não pode ser interceptada por terceiros. Para iniciar a sessão num site com uma autenticação push, é preciso instalar a aplicação no telefone e activar a opção nas definições de segurança da sua conta, se esta estiver disponível (muitas ainda não têm). Depois, deve garantir que as notificações push estão activadas para essa app.
1 – No Android, aceda a ‘Definições’ > ‘Aplicações e notificações’; aqui, escolha a aplicação, toque em ‘Notificações’ e confirme que a opção ‘Mostrar notificações’ está ligada.
2 – No iOS, entre em ‘Definições’ > ‘Notificações’, seleccione a app e confirme que também liga a opção ‘Permitir notificações’.
3 – O Google permite recorrer às notificações push em vez de passwords, o que elimina a necessidade da 2FA. No Android, esta funcionalidade está integrada, mas no iOS vai precisar das aplicações Google ou Gmail. Para configurar este recurso, entre na sua conta em https://myaccount.google.com, clique em ‘Segurança’ > ‘Iniciar sessão no Google’ > ‘Utilizar o telemóvel para iniciar sessão’ > ‘Configurar’ e seleccione o dispositivo que quer usar. Vai precisar de ter o bloqueio de ecrã ligado.
4 – Se preferir utilizar a autenticação push como segunda camada de segurança, escolha ‘Validação em dois passos’ > ‘Introdução’ e seleccione o dispositivo que onde vai passar a receber avisos.
Usar uma app app de autenticação
As apps de autenticação são uma forma mais segura de iniciar uma sessão em contas online que receber um código de verificação por SMS ou e-mail. Embora também recorram a códigos de seis dígitos, aqui são gerados directamente na app em vez de serem enviados de forma não-encriptada pela sua rede móvel, o que significa que funcionam mesmo quando o seu telefone está offline. Além disso, os códigos são actualizados a cada trinta segundos e nunca são repetidos; assim, se um hacker fosse capaz de interceptar um, teria de agir com extrema rapidez para aceder à nossa conta.
Vamos usar o Microsoft Authenticator (disponível para Android e iOS), que também pode ser usado com contas Amazon, Google, Facebook e Dropbox, por exemplo. Vamos ensinar a fazê-lo com uma conta Amazon.
1 – Entre na sua conta Amazon, clique em ‘Acesso e segurança’ > ‘Configurações da Verificação em Duas Etapas’ > ‘Editar’.
2 – Depois, carregue no botão amarelo ‘Iniciar’ e seleccione a opção ‘Aplicativo autenticador’, em baixo. Finalmente, abra o Microsoft Authenticator no smartphone, toque em ‘Ler código QR’ ou, então, em ‘Adicionar conta’ > ‘Outra’. Digitalize o código QR no site da Amazon, introduza o código de seis dígitos que aparece na app e clique em ‘Verificar senha de uso único e continue’.
Proteger as contas com uma pen USB
Ter chave de segurança em formato de pen USB é um método ainda mais rápido de entrar em contas online que usar um smartphone, uma vez que não precisa de desbloquear um ecrã ou introduzir um código. Em vez disso, basta ligar a pen a uma porta USB do computador (também há versões para smartphone) e carregar num botão que está na pen para entrar em segurança num site ou serviço que esteja configurado para tal.
As pens mais populares deste género são as Yubico (com preços que começam nos 25 euros, na loja online da marca: yubico.com/store), que funcionam com contas Google, Microsoft, Facebook e Twitter. Estas pens não precisam de ser carregadas ou ter um software instalado, além de serem suficientemente pequenas para serem usadas num porta-chaves. Vamos dar o exemplo de como usar uma destas pens com uma conta Facebook.
1 – Clique na seta para baixo no canto superior direito e escolha ‘Definições & Privacidade’ > ‘Definições’ > ‘Segurança e Início de Sessão’, no menu da esquerda. Clique no botão ‘Editar’ junto a ‘Usar autenticação de dois factores’ e seleccione ‘Configurar’, na opção ‘Adicionar método alternativo – chave de segurança’, que está em baixo.
2 – Agora, entre na sua conta Facebook, insira a pen de segurança USB Yubico e escolha ‘Registar chave de segurança’. Clique em ‘OK’ quando o Windows perguntar se quer utilizar a pen para iniciar a sessão na sua conta.
Imprimir códigos de cópia de segurança
Uma desvantagem de usar o smartphone para 2FA é que se o perder ou mudar para outro, deixa de poder entrar em algumas contas. Para evitar este problema, vale a pena manter uma cópia de segurança impressa dos códigos de verificação, se o site ou serviço possibilitar esta alternativa. O exemplo que damos é de uma conta Google.
1 – Entre na página de validação em dois passos da sua conta Google e clique em ‘Continuar’ > ‘Utilizar outra opção alternativa’. No nosso caso, tínhamos vários dispositivos autorizados a servir de plataformas de autenticação.
2 – A janela que se abre mostra um conjunto de dez códigos de backup que pode ‘Transferir’ e/ou ‘Imprimir’, para que possa iniciar a sessão na sua conta Google de forma segura, quando não tem o smartphone perto de si. Cada código só pode ser utilizado uma vez.
3 – O Microsoft Authenticator também resolve o problema de não usar o smartphone, já que permite fazer cópias de segurança das credenciais de uma conta para a cloud – isto faz com que fiquem acessíveis a partir de qualquer outro dispositivo onde possamos usar um browser. Nas ‘Definições’ da app, seleccione ‘Backup’ e escolha ’iCloud Backup (iPhone ou iPad) ou ‘Cloud backup’ (Android) para activar esta funcionalidade.