Token – Para que usar? O que é 2FA? E esse tal de MFA?

Token por que tanto nos falam para usar? Ele faz parte de um processo de autenticação que tem como medida garantir sua identidade, vamos o entender melhor?

2FA, ou Two Factor Authentication, ou simplesmente segundo fator de autenticação, não importa o nome que você tenha visto ou prefira dar, o importante é entender o porque você precisa conhecer essa palavrinha e como ela tornou-se tão necessária em sua vida.

Seja o local de onde você veio, com certeza alguma conta possui e já está habituado com o regular e comum processo de login e senha, correto? Seja seu e-mail, CPF ou nickname, eles sempre são combinados com uma senha para que você possa autenticar-se no serviço desejado.

Pois esse comum e antigo processo de login e senha é apenas uma das primeiras etapas de uma autenticação e também é o mais frágil delas, isso porque ele é o que chamamos de etapa de conhecimento.

Etapa de conhecimento

Chamamos dessa forma porque ela consiste no fornecimento de algo que o usuário conhece, seja a resposta de uma pergunta pessoal, ou até o nome da mãe ou data de aniversário de casamento como senha.

Essas combinações que você conhece, também podem tornar-se conhecidas por um fraudador, seja através de um vazamento de outro serviço, por associação de informações que ele possui sobre você ou através de um brute force, fazendo diversas combinações possíveis, até alcançar a usada por ti.

Justamente por isso a recomendação é sempre usar senhas aleatórias, complexas e únicas para cada serviço, dificultando consideravelmente que elas possam ser quebradas rapidamente. Um cofre de senhas pode lhe ajudar nessa tarefa.

Mas como estamos falando de um processo baseado em conhecimento e com N possibilidades de ser burlado, como vamos melhorar o processo de autenticação para confirmarmos que você é realmente você? Para isso, temos uma segunda etapa que chamamos de posse.

Etapa de posse

A etapa de posse consiste em validar a identidade de alguém com base em algo que só o usuário tenha acesso, seja uma chave por arquivo, um token físico ou um token no celular.

Afinal, já sabemos que quem está conectando no serviço tem o conhecimento da senha, mas ele também tem a posse do dispositivo cadastrado como parte do processo de autenticação?

Se antes o atacante poderia de forma totalmente remota e sem qualquer acesso e comunicação com o usuário, descobrir sua senha e passar-se por ele, agora ele precisará de acesso ao código gerado em seu celular.

Ou seja, uma vez que o Token esteja sendo utilizado, o atacante precisará descobrir a senha e roubar seu celular, ou entrar em contato com você e através de engenharia social, para lhe convencer a fornecer o token gerado em seu dispositivo.

Diante disso, dificultamos consideravelmente o acesso a uma conta e aumentamos a segurança do usuário, colocando duas etapas de autenticação da identidade, agora nós temos o 2FA.

Mas existe uma outra forma de aumentarmos essa segurança e tornar mais precisa a capacidade de comprovar a identidade de alguém, fazemos isso adicionando uma etapa de inerência.

Etapa de inerência

Inerência significa algo que, por natureza, é inseparável. Algo que é uma característica única e essencial de alguém ou algo, que é inerente aquela pessoa.

E algo que é inerente a nós é nossa biometria que pode ser por impressão digital, reconhecimento facial e identificação da íris.

Até nossa análise comportamental é algo inerente a cada ser humano, pois cada um possui determinado hábito e modo de fazer suas atividades, uma vez sendo capaz de identificarmos esse padrão é possível identificar uma pessoa através dela.

Se já pedimos algo de conhecimento do usuário, depois pedimos algo que só ele tenha em posse e, por fim, validamos sua identidade através de algo que seja inerente a ele, adicionamos diversas camadas de segurança que tornam muito difícil para o fraudador passar-se por você, pois agora ele tem 3 camadas diferentes para passar, ou o MFA.

Como usar o 2FA?

Se eu usar senha e uma pergunta de segurança, tenho um duplo fator de autenticação? A resposta é não! Para que você tenha um duplo fator de autenticação, você precisa passar por ao menos duas etapas, como a senha e pergunta de segurança fazem parte da etapa de conhecimento, você não aumentou seu nível de segurança.

O mesmo acontece com o MFA, para eu ter um múltiplo fator de autenticação, preciso passar pelas três etapas, ou seja, ter ao menos um elemento de cada uma das etapas citada. Um exemplo de MFA seria: Senha + Token + Biometria (Processo, inclusive, usado por muitos bancos).

Agora que já sabemos de tudo isso, nosso próximo passo deve ser procurar todos os serviços que usamos e habilitar o uso de token. Toda empresa e serviço que preocupa-se com a segurança de seu usuário, oferece para ele uma forma de cadastrar o token e criar o processo de 2FA, você encontrará nos seus serviços de e-mail, banco (Normalmente obrigatório), corretoras, carteiras de pagamento e até em lojas virtuais.

Uma vez habilitado, você tem mais tranquilidade em seu dia, protegendo o que é seu ou ao menos deveria ser particular e visível apenas para você.

Sair da versão mobile