As melhores chaves de segurança para autenticação multifator

security

November 22, 2021

As melhores chaves de segurança para autenticação multifator

Uma das maiores ameaças contra sua segurança pessoal é um invasor assumir o controle de uma conta online. Com ele, o bandido pode fazer todos os tipos de ações nefastas em seu nome e, se conseguir o controle de sua conta de e-mail, pode usar recursos de recuperação de senha para controlar ainda mais suas contas. Felizmente, a autenticação multifator (MFA) pode proteger contra invasões de contas. Embora existam muitas maneiras de fazer MFA, uma das melhores (e definitivamente a mais legal) é com uma chave de segurança – um pequeno dispositivo que cabe em um chaveiro.


O que é autenticação multifator? 

O método de autenticação com o qual a maioria de nós está familiarizada está sendo solicitado a inserir um nome de usuário e uma senha. Mas as senhas têm muitos problemas. Por um lado, somos ruins em lembrá-los e pior ainda em escolher senhas únicas e complexas que podem resistir a invasores. Por outro lado, as pessoas tendem a reutilizar senhas, o que significa que, se uma conta for comprometida, todas as outras contas com a mesma senha também estarão em risco.

A autenticação multifator, às vezes chamada de autenticação de dois fatores ou 2FA, procura mudar isso usando mais de um fator de autenticação. Isso não significa uma segunda senha, mas pelo menos duas de uma lista de três fatores possíveis:

  • Algo que você sabe;
  • Algo que você tem; e 
  • Algo que você é.

Algo que você sabe normalmente é uma senha. Ele vive em sua cabeça e deve realmente ser conhecido apenas por você. Algo que você tem pode ser uma chave de segurança, como estamos reunindo aqui, ou pode ser um aplicativo autenticador do seu telefone. Idealmente, é algo que não é fácil para um estranho acessar ou obter. Finalmente, algo que você é é uma característica física que pode ser lida com uma varredura biométrica. Isso pode ser uma digitalização de impressão digital ou reconhecimento facial, embora o uso do último esteja entre os piores erros da tecnologia .

Como é extremamente improvável que um invasor tenha mais de uma dessas formas de autenticação, a MFA torna muito mais difícil para os bandidos assumirem as contas. Isso foi comprovado no mundo real. Quando o Google exigiu que os funcionários usassem chaves MFA de hardware, as invasões de contas desapareceram efetivamente .


O que é uma chave de segurança?

Embora possam assumir várias formas, a maioria das chaves de segurança são dispositivos pequenos e do tamanho de uma chave que podem se identificar exclusivamente para sites e serviços. Lembre-se, eles são algo que você tem.

Para usar uma chave de segurança, primeiro você precisa registrá-la em cada site ou serviço que deseja proteger. Há cada vez mais suporte para chaves de segurança, mas não se surpreenda se elas não forem aceitas em todos os sites que você experimentar. O registro de uma chave é um pouco diferente para cada chave e site, mas geralmente é mais ou menos assim: Em algum lugar nas configurações do site ou serviço, você encontrará uma opção para registrar sua chave de segurança. Clique nele, insira a chave, toque no botão da chave quando solicitado e, em seguida, dê um nome ao registro da chave para saber qual é qual. Alguns sites e serviços limitam você a apenas uma chave, outros permitem muitas mais.

Na próxima vez que você fizer login, será solicitado que você apresente sua chave de segurança depois de inserir seu nome de usuário e senha para uma conta. Você conecta a chave por meio de algum tipo de conexão de transferência de dados – normalmente USB-A ou USB-C – e então pressiona um botão no dispositivo para verificar se você é uma pessoa real e não um ataque de malware inteligente representando uma chave. Se a senha e a chave forem confirmadas, você faz o login normalmente.

Algumas chaves de hardware incluem recursos de comunicação sem fio, geralmente por meio de comunicação de campo próximo (NFC) , para interagir com dispositivos móveis. Outras chaves têm autenticação biométrica para uma camada adicional de proteção.


Nem todos os fatores são criados iguais

Embora dois fatores sejam sempre melhores do que um, cada esquema de MFA tem vantagens e desvantagens potenciais.

Receber senhas de uso único por mensagem de texto SMS é uma das formas mais antigas e difundidas de MFA. É fácil de entender e, como muitos sites e serviços já possuem suas informações de contato, talvez você nem precise se inscrever neles. Embora convenientes, os códigos SMS têm duas grandes desvantagens. Primeiro, eles exigem um telefone funcional. Se o seu telefone estiver morto ou você não puder comprar seu próprio telefone, você não poderá fazer login.

Em segundo lugar, foi comprovado que os invasores podem interceptar códigos SMS por meio de um processo chamado SIM jacking . Como tal, aconselhamos os leitores a evitar SMS MFA sempre que possível. Esperamos que a FCC seja capaz de lidar com essa ameaça .

Outra forma comum de MFA é usar um aplicativo que gera códigos de login com tempo limitado. Embora existam muitos exemplos de aplicativos autenticadores, a maioria das pessoas provavelmente está familiarizada com o Google Authenticator. Esse tipo de MFA é mais seguro que os códigos SMS e permite que um único aplicativo forneça códigos para qualquer número de sites e serviços.

Embora os aplicativos de autenticação não exijam uma conexão de rede, seu telefone precisa estar disponível e ligado. Os telefones celulares não são autenticadores específicos; eles são dispositivos altamente conectados que fazem todos os tipos de tarefas. Isso significa que é possível, embora improvável, que um ataque malicioso atinja seus códigos de segurança.

As chaves de segurança baseadas em hardware resolvem a maioria dos problemas dos outros esquemas de MFA. As chaves de hardware não têm baterias e não requerem conexão de rede. Eles também não têm partes móveis, tornando-os difíceis de quebrar. Por trabalharem em hardware feito para um propósito, são muito mais difíceis de atacar. Finalmente, pode ser divertido ter uma ferramenta especial para fazer login.

Também há desvantagens em usar chaves de hardware para MFA. Ao contrário de outros tipos de MFA, as chaves de hardware custam dinheiro, geralmente de US$ 20 a US$ 50. As chaves de hardware também podem ser perdidas e não são tão amplamente suportadas quanto os códigos MFA baseados em aplicativos.

Se você é novo no MFA, recomendamos começar com códigos gerados pelo aplicativo. Estes são gratuitos, seguros e fáceis de usar e entender. Mas se você já estiver familiarizado com a MFA e estiver interessado em melhorar seu jogo de segurança, as chaves de segurança de hardware são o próximo passo.

Dito isso, é importante lembrar que o MFA de qualquer tipo não pode proteger contra todos os perigos que o mundo moderno apresenta. É altamente recomendável usar um software antivírus e um gerenciador de senhas para criar senhas únicas e complexas para cada site e serviço que você usa.


Como funcionam as chaves de segurança?

O meio mais difundido de autenticação de chave de segurança de hardware é baseado nos padrões da FIDO Alliance . Todos esses padrões fazem basicamente a mesma coisa: usam criptografia de chave assimétrica para autenticá-lo em um site ou serviço. 

Cada dispositivo pode gerar qualquer número de chaves públicas a partir de sua chave privada, sem expor a chave privada. Isso permite que uma única chave de hardware seja usada para vários sites e serviços, mas, mais importante, significa que uma falha ou alteração em qualquer site ou serviço não afetará o outro. Você pode facilmente remover e reinscrever sua chave quantas vezes quiser.

Ao comprar uma chave de segurança, você deve procurar pelo menos a certificação FIDO U2F porque isso significa que a chave funcionará em praticamente todos os contextos básicos de chave de segurança. FIDO2/ WebAuthn são os padrões de próxima geração, que suportam tipos adicionais de autenticação. Se você quiser usar um dispositivo para MFA biométrico ou login sem senha , precisará de FIDO2/WebAuthn. 


As chaves de segurança são seguras?

Passar de uma senha que (idealmente) é um segredo completo para uma pequena bugiganga como uma chave de segurança às vezes pode parecer menos seguro. Afinal, o que acontece se sua chave for roubada? Ou você perde sua chave?

Para o primeiro ponto, é extremamente improvável que alguém tenha os meios para rastrear um usuário individual e roubar sua chave de segurança. A maioria dos crimes cibernéticos é cometido em massa com milhares ou milhões de contas comprometidas. Uma chave de segurança não vale o esforço. Ainda assim, não é impossível e um invasor determinado pode usar uma chave roubada para acessar suas contas. É por isso que é importante manter sua chave segura, mas também usar senhas fortes protegidas em um gerenciador de senhas. Se o ladrão pegar a chave, mas não conseguir decifrar sua senha, ele ainda não está entrando.

É muito mais provável que você perca sua chave, e isso pode ser um problema. Yubico recomenda registrar uma segunda chave e armazená-la como um backup seguro. Muitos serviços que oferecem suporte a chaves de segurança também permitem (e alguns exigem) que você registre vários fatores de MFA, para que você possa configurar um aplicativo autenticador como uma opção de MFA de backup. Os serviços geralmente permitem gerar códigos de backup que podem ser anotados offline ou seguros em um gerenciador de senhas, que concede acesso em emergências. Se nada disso funcionar, encontre um dispositivo em que você ainda esteja conectado e cancele a inscrição da chave ou adicione um novo fator de MFA que você possui. A conclusão é que perder sua chave de segurança não é o fim do mundo .


Como escolher uma chave de segurança

A primeira coisa a observar ao escolher uma chave de segurança é como a chave se encaixa literalmente no restante de seus dispositivos. Se você não possui nenhum dispositivo com USB-C, deve manter as chaves com um conector USB-A. Se você pretende usar sua chave com dispositivos móveis (e deveria), você deve selecionar uma chave com um conector compatível com seu telefone ou uma chave com NFC, se seu telefone suportar NFC.

Você também precisa considerar seu orçamento. As chaves mais caras que analisamos custam até US $ 85, o que é uma mudança significativa. Se você é novo em chaves de segurança de hardware, recomendamos começar com uma chave mais barata e atualizar mais tarde. A chave de segurança NFC da Yubico funciona tão bem para MFA quanto uma chave mais cara, oferece NFC para dispositivos móveis e pode caber em USB-C com um dongle barato. É uma ótima opção para compradores de primeira viagem.

A maioria das chaves de segurança apenas o autentica, e isso é suficiente. Mas alguns vão mais longe com recursos adicionais. Kensington tem uma linha de chaves biométricas que exigem a impressão digital correta para autenticar você. As YubiKeys de última geração têm vários recursos adicionais: a capacidade de reproduzir uma senha estática, trabalhar com um aplicativo de desktop ou móvel para fornecer senhas geradas pelo aplicativo, gerenciamento de chaves PGP e sua própria forma de senhas de uso único. 

Facetas mais obscuras de cada chave podem ser significativas para o comprador mais exigente. NitroKeys e SoloKeys usam todo o código e hardware de código aberto, tornando-os uma escolha forte para um público específico. O Yubico bloqueia todos os seus dispositivos contra alterações de firmware para protegê-los de adulterações, enquanto o NitroKey celebra seu firmware atualizável. 


A chave para a segurança

As chaves de segurança de hardware são o melhor e mais seguro método de MFA e são altamente recomendadas. Mas para alguns, a ideia de pagar por uma chave ou ter que buscá-la cada vez que eles fazem login é demais e tudo bem. O mais importante é que você encontre um esquema de MFA que funcione para você e que você realmente o use . A melhor segurança não funciona se for ignorada.