Autenticação de Dois Fatores (2FA): o que é, como funciona e por que você deveria utilizar

Você pode nem sempre se dar conta, mas provavelmente faz algum tipo de autenticação de dois fatores todos os dias. 

Pela sua versatilidade e facilidade de implementação, o 2FA se tornou muito comum no nosso cotidiano e tem um papel importantíssimo de reforçar a segurança das nossas contas e proteger nossos dados. 

Por isso, vale a pena conhecer mais sobre a autenticação de dois fatores para que ela possa se tornar parte integrante dos seus processos de segurança.

O que é autenticação de dois fatores (2FA)?

A autenticação de dois fatores (2FA) é um método de segurança que adiciona uma camada extra de proteção nos processos de verificação de identidade – como para realizar logins, validações de celulares e autorização de transações. 

Tradicionalmente, a verificação ocorre apenas com um fator, como uma senha ou código PIN. No entanto, com esse modelo, são necessários dois fatores diferentes para comprovar a identidade do usuário.

Isso adiciona uma camada extra de proteção para o serviço, pois mesmo se a senha for comprometida, um invasor ainda precisaria do segundo elemento para acessar a conta. O que dificulta significativamente o acesso não autorizado e ajuda a proteger as contas de ataques de força bruta e roubo de credenciais.

Como a autenticação de dois fatores funciona? 

A 2FA funciona por meio de duas etapas de verificação de identidade, geralmente solicitando uma senha e um segundo método de verificação – como um código one-time-pin (OTP) de uso único ou uma biometria.

Dessa forma, a plataforma ou serviço combina diferentes elementos para aprimorar a segurança e tornar invasões mais difíceis. Isso porque não apenas o invasor precisaria de acesso imediato a um segundo código, como também não poderia replicá-lo – já que muitas vezes a solicitação deixa de ser válida no primeiro uso.

No momento da verificação em duas etapas, a plataforma apresenta uma lista de opções para o cliente escolher como gostaria de confirmar sua identidade. 

No caso mais comum, que é pelo envio de OTPs, um código de verificação é enviado por meio do canal de preferência do usuário e é utilizado como fator que confirma a identidade. O acesso só é liberado depois do PIN ser confirmado. Geralmente, esse código não pode ser usado mais de uma vez.

Outra opção – e também a mais antiga – é a de usar um token USB como autenticação de dois fatores. Neste caso, quando o USB é conectado ao computador, ele age como uma segunda autenticação de identidade e libera o acesso ao usuário. 

Quais são os métodos mais seguros de autenticação de dois fatores?

Existem três tipos principais de fatores de autenticação recomendados: 

• Algo que o usuário sabe: uma senha extra, um PIN ou uma resposta a uma pergunta de segurança;
• Algo que o usuário possui: um telefone, cartão ou token. 
• Algo que você é: biometria como uma impressão digital, retina, rosto ou voz. 

O modelo mais comum é o fornecimento de uma autenticação de conhecimento, como PIN ou perguntas de segurança. No entanto, com a popularização dos celulares com leitores de biometria (impressão digital e facial), o uso deste método tem crescido em adoção rapidamente. 

Geralmente, a ativação mais recomendada é aquela que somente o usuário tenha acesso, para evitar invasões não-autorizadas por meio desse sistema. 

Além disso, existem diversos aplicativos de verificação disponíveis, como o Google Authenticator, Authy e Microsoft Authenticator. Esses apps de autenticação (TOTP) geram códigos em tempo real, associados à conta do cliente. Após inserir a senha, o usuário acessa o portal para obter o código de verificação e inseri-lo no processo de verificação. 

Por que a autenticação de dois fatores é importante para a segurança das suas contas? 

A 2FA é crucial para a segurança das contas online por oferecer uma camada adicional de proteção além das senhas tradicionais. Ao exigir um segundo critério de verificação, como um código gerado no dispositivo do usuário, ela dificulta o acesso não autorizado. Essa prática também se tornou um dos principais pilares para proteção contra crimes virtuais, como ataques de phishing.

Simultaneamente, ela fortalece a segurança das contas e ajuda a proteger contra o vazamento de informações sensíveis, reduzindo os riscos associados a senhas comprometidas ou fracas, que levam apenas 1 segundo para serem descobertas por hackers. Tanto que, segundo a empresa de telecomunicações Verizon, 80% das violações cibernéticas poderiam ser evitadas com o uso de 2FA.

Outro problema frequente, é que os usuários reutilizam muito as suas senhas. É estimado que 76% dos millennials usem a mesma senha mais de uma vez, tornando o vazamento mais fácil e o consequente acesso dos hackers. 

Aqui estão alguns erros comuns que as pessoas cometem ao criar uma senha: 

• Usar uma informação pessoal (nome de pet, data de aniversário, cidade de nascimento, etc);
• Alterar apenas um dígito ou caractere em uma senha antiga;
• Reutilizar senhas antigas;
• Substituir uma letra por um número de aparência semelhante (ex. ‘@’ por ‘a’);
• Usar uma palavra em vez de uma frase ou frase aleatória;
• Usar apenas 8 caracteres.

Quais os benefícios da 2FA?

A autenticação de dois fatores traz vários benefícios significativos para a segurança das contas online, como redução de invasões e aumento da dificuldade de acesso de alguém não autorizado.

Além disso, essa é uma camada de proteção acessível e não reflete em custos extras para o usuário. No entanto, ela consegue reduzir significativamente a incidência de crimes virtuais – mesmo ataques de força bruta se tornam menos eficazes. 

Outro benefício importante é a redução dos custos com soluções de segurança, ao passo que o usuário pode navegar com maior tranquilidade e confiança no app ou site. 

E, por último, implementar 2FA também traz mais produtividade para a sua equipe. E por duas razões simples: permite que seus colaboradores acessem seus dados e plataformas com segurança de qualquer lugar e reduz a necessidade de chamados para o seu suporte ao cliente com questões relacionadas a acesso. 

Em que momento a 2FA pode ser usada?

A 2FA pode ser usada em diferentes momentos para reforçar a segurança das contas. Os contextos mais comuns incluem acesso a contas online, redes corporativas e sistemas sensíveis.

A abertura de uma nova conta recomenda a ativação da autenticação de dois fatores desde o primeiro momento. Isso inclui e-mails, serviços de armazenamento em nuvem, serviços bancários e redes sociais. 

Além disso, gestores devem solicitar a 2FA para garantir a segurança das atividades dos funcionários, especialmente na rede interna. Isso é especialmente importante ao acessar informações confidenciais, servidores internos ou sistemas de gerenciamento de dados sensíveis.

O mesmo se aplica para dispositivos móveis e instalações em smartphones, que ficam vulneráveis em casos de roubos, por exemplo.

Ao realizar transações financeiras virtuais, também vale a pena implementar a autenticação de dois fatores, especialmente para evitar fraudes.

Como configurar a autenticação de dois fatores?

As etapas exatas para configurar a autenticação de dois fatores podem variar dependendo do sistema, site ou aplicativo específico usado. Para sites e serviços online, o acesso é mais simples, podendo ser realizado por um passo a passo como esse:

1. Acesse as configurações de segurança da conta no site ou serviço online em questão;
2. Procure pela opção de “Autenticação de Dois Fatores” ou “2FA” nas configurações e selecione;
3. Escolha o método de preferência;
4. Siga as instruções fornecidas para ativar a 2FA e vincular o segundo fator de autenticação à conta. Isso pode envolver escanear um código QR, inserir um número de telefone ou registrar uma chave de segurança física;
5. Faça um teste para garantir que esteja funcionando corretamente.

O mesmo ocorre em aplicativos móveis, com acesso nas configurações das instalações ou no menu do aparelho. Caso não seja possível localizar, existe a possibilidade de instalar um aplicativo externo, como Google Authenticator, Authy ou Microsoft Authenticator para agir como 2FA. 

No caso de chaves de segurança físicas, é importante adquirir um sistema ou serviço confiável, acessar as configurações do site em questão e seguir com o cadastro. Contudo, é importante reforçar a importância de manter o segundo elemento protegido, preferencialmente sem compartilhar com ninguém.

Melhores práticas de segurança para usar a autenticação de dois fatores

Existem várias dicas para usar a autenticação de dois fatores de maneira mais efetiva, combinando as melhores práticas do mercado para aumentar a proteção dos seus clientes.

Os principais são: 

• 1. Combine métodos de autenticação. Usar diferentes métodos de autenticação (como SMS, biometria e push) em diferentes momentos da jornada pode ser uma excelente forma de balancear a experiência e a exigência de segurança. 
• 2. Sempre que possível, permita que seus usuários escolham o canal pelo qual querem fazer a autenticação. Entender as preferências do usuário fará com que você tenha uma quebra muito menor em etapas de 2FA. Isso é válido especialmente para o envio de PIN (que podem ser por voz, push, SMS, e-mail). Mas você também pode permitir que ele escolha o método que prefere, como biometria, PIN, token. 
• 3. Implemente bloqueios temporários para solicitações sucessivas. Tentativas sucessivas de autenticação podem sinalizar uma possível fraude. Por isso, muitas empresas empregam um bloqueio de alguns minutos após 3 ou 5 solicitações de acesso e impedem o usuário de acessar o app ou site por 10 até 30 minutos. 
• 4. Possibilite o reenvio do código apenas após 30 segundos da última solicitação. Envios de códigos sucessivos em um pequeno espaço de tempo podem causar confusões no processo de autenticação – além de ser custoso para a sua empresa. Por exemplo: o usuário digitar um código que já não é mais válido porque outro está a caminho. Uma sugestão é apenas permitir o reenvio do código PIN após 30 segundos da solicitação anterior – e após duas tentativas, permita a escolha de um canal alternativo. 
• 5. Incentive seus usuários a habilitarem a 2FA. Bancos, apps de saúde e serviços governamentais normalmente exigem o uso de autenticação de dois fatores para o acesso. Mas outros setores podem (e devem) incentivar processos de 2FA. Para isso, é essencial que você faça campanhas de conscientização para que seu usuário entenda a importância dessa proteção extra.

Quais as indústrias que usam 2FA?

A autenticação de dois fatores é amplamente adotada em várias indústrias, para reforçar a segurança das operações e proteger as contas dos usuários.

• Instituições financeiras

É bastante comum e também crucial que as instituições financeiras (como bancos, fintechs e seguradoras) utilizem os serviços de 2FA para manter os dados de seus clientes seguros. Isso pode ser desde exigir uma senha para acessar seu cartão bancário, até um PIN para aprovar transferências.

• E-commerce

Os varejistas online costumam usar o 2FA durante o processo de login. Quando as informações do cartão de crédito podem ser salvas e armazenadas em suas contas, é essencial acrescentar uma outra camada de proteção para que seus clientes se sintam seguros ao comprar no seu site.  

• Saúde

As organizações de saúde são responsáveis por proteger os dados e informações dos pacientes – inclusive à luz da LGPD. Ao utilizar o 2FA, elas podem assegurar a seus pacientes que somente eles têm acesso aos seus registros médicos. A autenticação também é necessária para que os médicos tenham acesso aos prontuários dos pacientes de forma segura. 

• Governo 

Especialmente durante a pandemia, os governos tiveram que fazer uma mudança no uso de plataformas online e baseadas em nuvem para que as pessoas pudessem acessar suas contas governamentais. Isto pode incluir qualquer coisa desde contas no Sistema Único de Saúde, benefícios sociais, pedidos de carteira de motorista e outros serviços governamentais. 

• Plataformas e serviços em nuvem

Serviços que armazenam dados e arquivos na nuvem podem se beneficiar muito do uso de 2FA para garantir a integridade das contas de seus clientes. Recentemente, até as plataformas populares de redes sociais, como o Facebook, Instagram, Twitter e LinkedIn, também oferecem a opção de ativar a 2FA nas contas dos usuários. 

Em outras palavras, as principais empresas do mercado estão adotando essa medida de segurança, e é fundamental que o seu negócio também preze pela proteção virtual.

Se você quer fazer uso dessas ferramentas, entre em contato com um de nossos especialistas. Estamos prontos para ajudá-lo!

Conteúdos relacionados que você pode se interessar: 

• Verificação Móvel Silenciosa: o que é e como ela melhora a segurança e a experiências dos seus clientes
• Verificação e Autenticação de Identidade de Clientes: o que são e quais as opções disponíveis
• Guia prático para maximizar a segurança e proteção das contas dos seus clientes
• O que é SIM Swap e por quê sua empresa deveria se preocupar?