Essa segunda camada pode ser algo que apenas o usuário possui, como um dispositivo móvel com um código gerado aleatoriamente ou uma chave de segurança física YubiKey.

A importância do 2FA reside em sua capacidade de bloquear o acesso não autorizado, mesmo que a senha principal seja comprometida. Isso ajuda a prevenir uma variedade de ataques cibernéticos, desde phishing até tentativas de força bruta. Além disso, o 2FA oferece aos usuários tranquilidade adicional, sabendo que suas informações estão protegidas por uma camada adicional de segurança.

Ataques como o "Sim Swapping", em que criminosos podem duplicar seu cartão SIM para usurpar sua identidade, estão se tornando mais comuns. Para evitar esse tipo de ataque, é fundamental evitar compartilhar dados em sites não seguros e optar por métodos de autenticação mais seguros, como os aplicativos de 2FA, como o Aegis Authenticator ou dispositivos físicos, como o YubiKey, em vez de depender apenas de mensagens de texto (SMS) para verificação.

O phishing por e-mail é uma ameaça persistente, onde hackers tentam enganar as pessoas para revelar suas informações de login. Se uma vítima de phishing fornecer suas credenciais de login, o 2FA atuará como uma barreira adicional, impedindo que os invasores acessem a conta, mesmo com a senha correta.

Embora possa parecer um passo extra, o pequeno inconveniente de inserir um código ou usar um aplicativo de autenticação é insignificante em comparação com as consequências potenciais de uma conta hackeada. Portanto, é essencial que todos adotem o 2FA sempre que possível, garantindo uma proteção robusta contra ameaças online. O 2FA, como o Aegis Authenticator ou um 2FA físico, como o YubiKey, desempenha um papel fundamental na proteção contra uma variedade de ataques cibernéticos comuns, garantindo segurança para nossas contas online e informações pessoais.

O Aegis Authenticator é um aplicativo de autenticação em duas etapas (2FA) para dispositivos móveis que ajuda os usuários a proteger suas contas online contra hackers e ataques maliciosos.

Chaves de Segurança: Um Reforço Essencial para a Autenticação em Dois Fatores

As chaves de segurança são dispositivos de autenticação que desempenham um papel crucial na verificação de identidades online. Funcionando de maneira semelhante às chaves tradicionais, elas são inseridas ou tocadas em dispositivos conectados, como computadores e celulares, para confirmar a autenticidade do usuário. Embora possam ser usadas como única forma de autenticação, é mais comum utilizá-las como um complemento à senha tradicional.

A senha é o método de autenticação mais conhecido e amplamente utilizado, pois é algo que apenas o usuário sabe. O processo é simples: inserir a senha e obter acesso. No entanto, esse método apresenta riscos, uma vez que o vazamento ou o roubo da senha pode permitir o acesso não autorizado a locais que deveriam ser restritos apenas ao proprietário da conta.

Para mitigar esses riscos, surgiu a autenticação em dois passos (2FA), também conhecida como autenticação em dois fatores ou em duas etapas. Como o nome sugere, ela adiciona uma etapa adicional antes de conceder o acesso ao usuário legítimo.

Essa etapa extra envolve algo que o usuário possui, complementando o conhecimento da senha. Em um sistema devidamente configurado, ambos os elementos são necessários para liberar o acesso. Um exemplo comum de 2FA é o uso de tokens de banco, que antigamente vinham em cartões plásticos ou chaveiros digitais (hoje, geralmente estão no celular).

O método mais básico de 2FA, ainda amplamente utilizado, é o envio de senhas temporárias por mensagem de texto (SMS). Após inserir a senha, o sistema envia uma senha temporária descartável para o celular do usuário, que deve ser inserida para obter acesso. No entanto, o uso de SMS para 2FA é considerado frágil, uma vez que as mensagens podem ser interceptadas ou acessadas por terceiros caso o número do usuário seja clonado ou o celular seja roubado.

Os aplicativos OTP (One-time password), ou senhas descartáveis, são uma alternativa mais segura. Eles operam na mesma lógica do SMS, mas assumem a forma de um aplicativo instalado no celular, reforçando a natureza do elemento "possuir". Ao contrário de um número de celular, o próprio celular é mais único e não pode ser clonado. Além disso, os aplicativos OTP contam com medidas de segurança, como bloqueio por senha e/ou biometria. Exemplos populares desses aplicativos incluem o Aegis Authenticator e RaivoOTP Ao configurar o aplicativo para o sistema desejado, as senhas temporárias são geradas e exibidas no próprio aplicativo, exigindo acesso físico ao celular para obtê-las.

As chaves de segurança físicas representam o próximo nível nessa escala de segurança. Em vez de digitar ou colar senhas temporárias, a própria chave de segurança é utilizada como segundo fator de autenticação. Esse recurso é possível graças ao protocolo aberto FIDO U2F (Universal 2nd Factor), desenvolvido pela Aliança FIDO (Fast Identity Online).

Para utilizar as chaves de segurança em computadores, basta inseri-las em uma porta USB, enquanto em celulares, o dispositivo é tocado na chave para a comunicação via NFC (Near Field Communication), um padrão de comunicação sem fio. Em ambos os casos, ocorre uma troca de dados criptografados entre a chave e o dispositivo, usando um mecanismo de desafio-resposta que libera o acesso em caso de sucesso. Embora pareça um processo complexo, para o usuário final, a utilização é bastante simples.

Graças à evolução do protocolo para o FIDO2, as chaves de segurança também podem ser utilizadas como o único meio de autenticação. As linhas YubiKey 5 e Security Key, da fabricante Yubico, são exemplos de chaves de segurança que funcionam com o FIDO2.

A seguir, abordaremos algumas dúvidas comuns sobre o uso de chaves de segurança:

Não é necessário usar 2FA em todas as ocasiões: A maioria dos serviços permite que você defina um dispositivo confiável, como um celular ou computador, para que, em futuros acessos, apenas a senha seja exigida, ou nem isso
seja necessário. No entanto, é importante garantir que o dispositivo confiável esteja devidamente protegido, por meio de criptografia, para evitar comprometimentos de segurança. De nada adianta ter 2FA ativado em uma conta se o dispositivo utilizado não estiver adequadamente seguro.

Chaves de segurança são únicas: É importante ter em mente que as chaves de segurança são dispositivos únicos. Isso significa que, se você perder a chave, não será possível transferir as configurações para outra chave. Além disso, as chaves de segurança não possuem qualquer vínculo formal com o usuário, como um nome de usuário ou senha. O vínculo existe apenas entre a chave e as contas que dependem dela para conceder acesso. É semelhante a uma chave física: ela protege a propriedade, mas não está diretamente ligada ao usuário.

Perda do celular ou chave de segurança: Caso você perca seu celular ou chave de segurança, existem soluções para recuperar o acesso. A primeira opção é ter outro dispositivo confiável configurado ou com sessão ativa nas contas. Nesse caso, é possível acessar as configurações dos serviços/aplicativos e desativar o 2FA. A segunda opção é ter salvo os códigos de backup fornecidos por muitos serviços. É importante guardar esses códigos de backup em um local extremamente seguro, como um papel impresso, pois eles são uma opção nuclear para recuperar o acesso à conta, independentemente de qualquer outra medida de segurança.

Dois métodos de 2FA paralelos: É possível utilizar dois métodos de 2FA em paralelo, como uma chave de segurança e um aplicativo OTP. Isso pode ser necessário caso você tenha dispositivos que não possuem portas USB compatíveis ou tecnologia NFC, como iPads ou celulares Android mais simples.

A configuração de uma chave de segurança pode variar de acordo com o serviço utilizado, mas, em geral, envolve a escolha da opção desejada e a confirmação por meio da inserção da chave ou de uma senha descartável gerada pelo aplicativo. Como exemplo, vamos ver como configurar uma chave de segurança no Twitter:

1. Clique na aba "Mais" e depois em "Configurações e privacidade".
2. Acesse "Segurança e acesso à conta" e clique em "Segurança".
3. Em seguida, clique em "Autenticação em duas etapas" ou acesse diretamente este link.
4. Na página de configuração da 2FA, o Twitter apresentará três opções: "Mensagem de texto" (SMS), "Aplicativo de autenticação" e "Chave de segurança". Para configurar a chave de segurança, clique na caixa de seleção ao lado dessa opção.
5. O Twitter solicitará a senha novamente por medida de segurança. Em seguida, um pop-up aparecerá pedindo para inserir a chave no computador. Siga as instruções para ativar a chave. A ativação da chave de segurança envolve tocar com o dedo na área designada para garantir a presença física do usuário e mitigar ataques remotos.
6. Após a ativação, o Twitter pedirá um nome para a chave e exibirá um "código nuclear" de backup, que permite o acesso direto sem 2FA caso a chave seja perdida.

Quando você for fazer login novamente, após inserir a senha, um pop-up do navegador solicitará a chave de segurança. O processo é semelhante ao da configuração: basta inserir e ativar a chave. Em dispositivos com NFC, basta tocar a parte superior do celular na chave de segurança para liberar o acesso.

Você pode adquirir as chaves de segurança diretamente na loja oficial https://www.yubico.com/br/store/ , que realiza envios para o país. Os preços variam de acordo com o modelo da chave e a forma de aquisição. Outra opção é procurar por vendedores independentes em marketplaces como o Amazon. Vale ressaltar que investir em uma chave de segurança é uma decisão pessoal e depende do nível de segurança desejado e do valor atribuído à proteção de suas contas.

Embora as chaves de segurança possam ser consideradas o "Santo Graal" da autenticação em dois fatores, é importante ressaltar que, caso você ainda não utilize 2FA em suas contas, é altamente recomendável configurar um aplicativo OTP. Confia somente em senhas torna-se arriscado com os crescentes vazamentos de dados e a intensificação de tentativas de golpes.

As chaves de segurança físicas, como a YubiKey, desempenham um papel crucial na autenticação em dois fatores (2FA), fortalecendo a segurança em contas online. Oferecendo uma abordagem mais segura em relação ao 2FA por SMS e aplicativos OTP, essas chaves proporcionam uma camada adicional de proteção, Embora sejam um investimento pessoal, a crescente importância da segurança digital torna essas chaves uma opção valiosa para proteger nossas identidades e dados online.

O U2F-TOKEN pode ser uma excelente opção para pessoas que gostam de criar e personalizar suas próprias ferramentas de segurança. Ao transformar placas STM32F103 e EFM32HG em tokens U2F, o firmware oferece uma solução econômica e versátil para autenticação de dois fatores (2FA).

As vantagens de utilizar o U2F-TOKEN incluem:

1. Customização: O U2F-TOKEN é um projeto de código aberto, o que significa que você pode personalizar e modificar o firmware de acordo com suas necessidades específicas.

2. Custos Baixos: As placas STM32F103 e EFM32HG são amplamente disponíveis e acessíveis em termos de preço, tornando o U2F-TOKEN uma alternativa econômica a outras soluções de tokens de autenticação.

3. Controle Total: Ao criar e montar seu próprio token U2F, você tem controle total sobre o processo e pode garantir a segurança do dispositivo.

4. Experiência de Aprendizado: Ao trabalhar com o U2F-TOKEN, você pode adquirir experiência em programação, compreender melhor o funcionamento de autenticação de dois fatores e aprofundar seus conhecimentos em segurança da informação.

5. Flexibilidade: O U2F-TOKEN suporta várias placas, permitindo que você escolha o hardware que melhor se adequa às suas necessidades.

Observação: é importante lembrar que trabalhar com firmware e hardware de baixo nível requer conhecimentos técnicos sólidos e cuidado, para evitar danos aos dispositivos ou problemas de segurança. Caso você não tenha experiência em programação ou eletrônica, pode ser útil buscar orientação e conhecimentos adicionais antes de iniciar o processo de criação do U2F-TOKEN.

O U2F-TOKEN é uma ótima opção para entusiastas que desejam explorar e criar suas próprias ferramentas de autenticação de dois fatores, mas é importante ter a devida cautela e conhecimento técnico ao lidar com esses projetos.

https://github.com/gl-sergei/u2f-token

https://youtu.be/o4t2rp66i-w

A autenticação em duas etapas é um processo que adiciona uma camada extra de segurança ao login em uma conta online. Em vez de depender apenas de uma senha, o 2FA exige uma segunda forma de autenticação, geralmente um código enviado para um dispositivo móvel ou gerado por um aplicativo. Isso ajuda a garantir que apenas o proprietário da conta possa acessá-la.

A história do Aegis Authenticator remonta ao início dos anos 2000, quando a autenticação em duas etapas começou a ser amplamente adotada para proteger contas online. Desde então, houve vários casos de violação de segurança em grandes empresas, incluindo Yahoo, Equifax e Marriott, que expuseram informações pessoais de milhões de usuários.
Como resultado, a segurança online se tornou uma preocupação crescente para indivíduos e empresas em todo o mundo.

O Aegis Authenticator funciona gerando códigos de autenticação em tempo real que mudam a cada 30 segundos. Esses códigos são usados em conjunto com uma senha para acessar uma conta online. O aplicativo suporta a autenticação com base em tempo e também com base em contagem, o que significa que ele pode ser usado com serviços que suportam ambas as opções.

O Aegis Authenticator possui recursos de backup e sincronização em nuvem para garantir que os usuários possam acessar suas contas em outros dispositivos, mesmo que o dispositivo original seja perdido ou roubado. O aplicativo utiliza criptografia de ponta a ponta para proteger as informações do usuário em trânsito e armazenadas na nuvem.

O Aegis Authenticator resolve vários problemas de segurança online, incluindo a prevenção de ataques de phishing e o aumento da segurança em contas com senhas fracas. Os códigos gerados pelo aplicativo são válidos apenas por um curto período de tempo, o que dificulta a utilização de um código roubado por um atacante. Além disso, o aplicativo é capaz de detectar automaticamente tentativas de phishing e alertar o usuário.

1. Baixe o aplicativo na loja de aplicativos do seu dispositivo móvel.
   https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis

2. Abra o aplicativo e clique em "Adicionar conta".

3. Selecione o serviço para o qual deseja configurar a autenticação em duas etapas.

4. Siga as instruções do serviço para vincular sua conta ao Aegis Authenticator. Isso pode envolver digitalizar um código QR com a câmera do seu dispositivo ou inserir um código de configuração manualmente.

5. O aplicativo irá gerar um código de autenticação em tempo real para sua conta, que muda a cada 30 segundos. Use esse código em conjunto com sua senha para acessar sua conta.

Com esses passos simples, você pode usar o Aegis Authenticator para proteger suas contas online e aumentar sua segurança digital
Um próximo Passo seria adquirir um Yubico.