A YubiKey é um dispositivo de segurança físico desenvolvido pela Yubico, que oferece autenticação em dois fatores (2FA) para aumentar a segurança em contas online.
Lançada como YubiKey Classic em 2008, permite autenticação com um toque no botão para gerar um código único. Inicialmente compatível com OATH-HOTP, evoluiu para suportar U2F, NFC e FIDO2. Com o lançamento da YubiKey 5 Series, tornou-se ainda mais versátil na proteção de contas digitais em diversas plataformas. A Yubico continua inovando para aprimorar a segurança e a autenticação online.
Chaves de Segurança: Um Reforço Essencial para a Autenticação em Dois Fatores
As chaves de segurança são dispositivos de autenticação que desempenham um papel crucial na verificação de identidades online. Funcionando de maneira semelhante às chaves tradicionais, elas são inseridas ou tocadas em dispositivos conectados, como computadores e celulares, para confirmar a autenticidade do usuário. Embora possam ser usadas como única forma de autenticação, é mais comum utilizá-las como um complemento à senha tradicional.
A senha é o método de autenticação mais conhecido e amplamente utilizado, pois é algo que apenas o usuário sabe. O processo é simples: inserir a senha e obter acesso. No entanto, esse método apresenta riscos, uma vez que o vazamento ou o roubo da senha pode permitir o acesso não autorizado a locais que deveriam ser restritos apenas ao proprietário da conta.
Para mitigar esses riscos, surgiu a autenticação em dois passos (2FA), também conhecida como autenticação em dois fatores ou em duas etapas. Como o nome sugere, ela adiciona uma etapa adicional antes de conceder o acesso ao usuário legítimo.
Essa etapa extra envolve algo que o usuário possui, complementando o conhecimento da senha. Em um sistema devidamente configurado, ambos os elementos são necessários para liberar o acesso. Um exemplo comum de 2FA é o uso de tokens de banco, que antigamente vinham em cartões plásticos ou chaveiros digitais (hoje, geralmente estão no celular).
O método mais básico de 2FA, ainda amplamente utilizado, é o envio de senhas temporárias por mensagem de texto (SMS). Após inserir a senha, o sistema envia uma senha temporária descartável para o celular do usuário, que deve ser inserida para obter acesso. No entanto, o uso de SMS para 2FA é considerado frágil, uma vez que as mensagens podem ser interceptadas ou acessadas por terceiros caso o número do usuário seja clonado ou o celular seja roubado.
Os aplicativos OTP (One-time password), ou senhas descartáveis, são uma alternativa mais segura. Eles operam na mesma lógica do SMS, mas assumem a forma de um aplicativo instalado no celular, reforçando a natureza do elemento "possuir". Ao contrário de um número de celular, o próprio celular é mais único e não pode ser clonado. Além disso, os aplicativos OTP contam com medidas de segurança, como bloqueio por senha e/ou biometria. Exemplos populares desses aplicativos incluem o Aegis Authenticator e RaivoOTP Ao configurar o aplicativo para o sistema desejado, as senhas temporárias são geradas e exibidas no próprio aplicativo, exigindo acesso físico ao celular para obtê-las.
As chaves de segurança físicas representam o próximo nível nessa escala de segurança. Em vez de digitar ou colar senhas temporárias, a própria chave de segurança é utilizada como segundo fator de autenticação. Esse recurso é possível graças ao protocolo aberto FIDO U2F (Universal 2nd Factor), desenvolvido pela Aliança FIDO (Fast Identity Online).
Para utilizar as chaves de segurança em computadores, basta inseri-las em uma porta USB, enquanto em celulares, o dispositivo é tocado na chave para a comunicação via NFC (Near Field Communication), um padrão de comunicação sem fio. Em ambos os casos, ocorre uma troca de dados criptografados entre a chave e o dispositivo, usando um mecanismo de desafio-resposta que libera o acesso em caso de sucesso. Embora pareça um processo complexo, para o usuário final, a utilização é bastante simples.
Graças à evolução do protocolo para o FIDO2, as chaves de segurança também podem ser utilizadas como o único meio de autenticação. As linhas YubiKey 5 e Security Key, da fabricante Yubico, são exemplos de chaves de segurança que funcionam com o FIDO2.
A seguir, abordaremos algumas dúvidas comuns sobre o uso de chaves de segurança:
Não é necessário usar 2FA em todas as ocasiões: A maioria dos serviços permite que você defina um dispositivo confiável, como um celular ou computador, para que, em futuros acessos, apenas a senha seja exigida, ou nem isso
seja necessário. No entanto, é importante garantir que o dispositivo confiável esteja devidamente protegido, por meio de criptografia, para evitar comprometimentos de segurança. De nada adianta ter 2FA ativado em uma conta se o dispositivo utilizado não estiver adequadamente seguro.
Chaves de segurança são únicas: É importante ter em mente que as chaves de segurança são dispositivos únicos. Isso significa que, se você perder a chave, não será possível transferir as configurações para outra chave. Além disso, as chaves de segurança não possuem qualquer vínculo formal com o usuário, como um nome de usuário ou senha. O vínculo existe apenas entre a chave e as contas que dependem dela para conceder acesso. É semelhante a uma chave física: ela protege a propriedade, mas não está diretamente ligada ao usuário.
Perda do celular ou chave de segurança: Caso você perca seu celular ou chave de segurança, existem soluções para recuperar o acesso. A primeira opção é ter outro dispositivo confiável configurado ou com sessão ativa nas contas. Nesse caso, é possível acessar as configurações dos serviços/aplicativos e desativar o 2FA. A segunda opção é ter salvo os códigos de backup fornecidos por muitos serviços. É importante guardar esses códigos de backup em um local extremamente seguro, como um papel impresso, pois eles são uma opção nuclear para recuperar o acesso à conta, independentemente de qualquer outra medida de segurança.
Dois métodos de 2FA paralelos: É possível utilizar dois métodos de 2FA em paralelo, como uma chave de segurança e um aplicativo OTP. Isso pode ser necessário caso você tenha dispositivos que não possuem portas USB compatíveis ou tecnologia NFC, como iPads ou celulares Android mais simples.
A configuração de uma chave de segurança pode variar de acordo com o serviço utilizado, mas, em geral, envolve a escolha da opção desejada e a confirmação por meio da inserção da chave ou de uma senha descartável gerada pelo aplicativo. Como exemplo, vamos ver como configurar uma chave de segurança no Twitter:
- Clique na aba "Mais" e depois em "Configurações e privacidade".
- Acesse "Segurança e acesso à conta" e clique em "Segurança".
- Em seguida, clique em "Autenticação em duas etapas" ou acesse diretamente este link.
- Na página de configuração da 2FA, o Twitter apresentará três opções: "Mensagem de texto" (SMS), "Aplicativo de autenticação" e "Chave de segurança". Para configurar a chave de segurança, clique na caixa de seleção ao lado dessa opção.
- O Twitter solicitará a senha novamente por medida de segurança. Em seguida, um pop-up aparecerá pedindo para inserir a chave no computador. Siga as instruções para ativar a chave. A ativação da chave de segurança envolve tocar com o dedo na área designada para garantir a presença física do usuário e mitigar ataques remotos.
- Após a ativação, o Twitter pedirá um nome para a chave e exibirá um "código nuclear" de backup, que permite o acesso direto sem 2FA caso a chave seja perdida.
Quando você for fazer login novamente, após inserir a senha, um pop-up do navegador solicitará a chave de segurança. O processo é semelhante ao da configuração: basta inserir e ativar a chave. Em dispositivos com NFC, basta tocar a parte superior do celular na chave de segurança para liberar o acesso.
Você pode adquirir as chaves de segurança diretamente na loja oficial
Embora as chaves de segurança possam ser consideradas o "Santo Graal" da autenticação em dois fatores, é importante ressaltar que, caso você ainda não utilize 2FA em suas contas, é altamente recomendável configurar um aplicativo OTP. Confia somente em senhas torna-se arriscado com os crescentes vazamentos de dados e a intensificação de tentativas de golpes.
As chaves de segurança físicas, como a YubiKey, desempenham um papel crucial na autenticação em dois fatores (2FA), fortalecendo a segurança em contas online. Oferecendo uma abordagem mais segura em relação ao 2FA por SMS e aplicativos OTP, essas chaves proporcionam uma camada adicional de proteção, Embora sejam um investimento pessoal, a crescente importância da segurança digital torna essas chaves uma opção valiosa para proteger nossas identidades e dados online.
O U2F-TOKEN pode ser uma excelente opção para pessoas que gostam de criar e personalizar suas próprias ferramentas de segurança. Ao transformar placas STM32F103 e EFM32HG em tokens U2F, o firmware oferece uma solução econômica e versátil para autenticação de dois fatores (2FA).
As vantagens de utilizar o U2F-TOKEN incluem:
Customização: O U2F-TOKEN é um projeto de código aberto, o que significa que você pode personalizar e modificar o firmware de acordo com suas necessidades específicas.
Custos Baixos: As placas STM32F103 e EFM32HG são amplamente disponíveis e acessíveis em termos de preço, tornando o U2F-TOKEN uma alternativa econômica a outras soluções de tokens de autenticação.
Controle Total: Ao criar e montar seu próprio token U2F, você tem controle total sobre o processo e pode garantir a segurança do dispositivo.
Experiência de Aprendizado: Ao trabalhar com o U2F-TOKEN, você pode adquirir experiência em programação, compreender melhor o funcionamento de autenticação de dois fatores e aprofundar seus conhecimentos em segurança da informação.
Flexibilidade: O U2F-TOKEN suporta várias placas, permitindo que você escolha o hardware que melhor se adequa às suas necessidades.
Observação: é importante lembrar que trabalhar com firmware e hardware de baixo nível requer conhecimentos técnicos sólidos e cuidado, para evitar danos aos dispositivos ou problemas de segurança. Caso você não tenha experiência em programação ou eletrônica, pode ser útil buscar orientação e conhecimentos adicionais antes de iniciar o processo de criação do U2F-TOKEN.
O U2F-TOKEN é uma ótima opção para entusiastas que desejam explorar e criar suas próprias ferramentas de autenticação de dois fatores, mas é importante ter a devida cautela e conhecimento técnico ao lidar com esses projetos.