Como melhorar a autenticação em dois fatores, mesmo se tiver o celular roubado

Quando uma rede social sofre algum tipo de ataque ou contas de usuários acabam sendo o alvo de hackers invasores, geralmente a primeira resposta das empresas é pedir que os usuários ativem a autenticação em dois fatores (Two Factor Authentication, ou simplesmente “2FA”). Trata-se de uma medida que adiciona uma camada extra de segurança ao enviar para o sistema de mensagens de texto do seu celular um código exclusivo de acesso à uma conta, justamente para impedir que outras pessoas possam abrir o que é seu. O próprio Instagram passou a oferecer recentemente a opção da 2FA para proteger seus usuários.

A vantagem é que ela serve para uma gama de possibilidades: não apenas para defender suas contas em redes sociais, mas também caixas de entrada de seus e-mails, marketplaces virtuais para compra de apps e até alguns serviços bancários trazem a 2FA como medida de segurança. Mas e se o seu smartphone for roubado? Convenhamos, os dispositivos móveis são, em si, um chamariz muito comum para a ação de bandidos e, se a 2FA depende da presença de um telefone celular, isso não invalidaria todo esse trabalho?

A resposta é “não”. Independente do que aconteça com o seu smartphone, adicionar medidas protetivas às suas contas sempre é uma atitude coerente se você ambiciona se manter um passo à frente de pessoas maliciosas, que planejam roubar seus dados para fins nada louváveis. A boa notícia é que, mesmo diante de um smartphone roubado, a 2FA pode ser amplamente reforçada com algumas ações bem simples.

Entendendo a 2FA

Em primeiro lugar, é importante conhecer o processo da 2FA: de uma maneira resumida, o que ela faz é adicionar um número de telefone celular à condição de login de alguma conta — qualquer conta — antes de acessá-la ou de fazer nela alguma alteração de segurança. Ao adicionar tal número, o usuário não consegue logar-se apenas com nome de usuário e senha: ao inserir essas informações, um prompt do sistema da rede que se tenta acessar envia ao número de celular cadastrado um código alfanumérico exclusivo, que deve ser inserido para, só então, o login ser liberado.

De fato, é um “trabalho a mais” que fica ao encargo do usuário e, vale dizer, utilizar dessa medida é opcional. Para todos os efeitos, os métodos mais antigos de login (inserir apenas usuário e senha) ainda valem. Mas não seriam esses segundos extras de trabalho um valor módico a se pagar por uma camada a mais de proteção?

A maioria das aplicações oferecem a opção de ativar a segurança em dois fatores diretamente de seus apps, pelo próprio smartphone, como é o caso do Instagram (ela está dentro do menu de segurança, nas configurações da conta). Já outras, como o Gmail, requerem que a ativação seja feita via desktop ou navegador móvel. Aqui no Canaltech, nós já falamos sobre como ativar a 2FA no passado.

A Autenticação em dois fatores adiciona uma camada de proteção ao login de diversas aplicações, como redes sociais, bancos e e-mails

Mas me roubaram! E agora, como fico?

Aqui é onde entram as nossas dicas do dia: a 2FA usa seu sistema de SMS para enviar o código de acesso. Ainda que seu aparelho esteja travado, este sistema pode se sobrepor nas notificações, exibindo o conteúdo da mensagem mesmo na tela bloqueada. Nas mãos de um ladrão, isso é, obviamente, um risco.

Neste caso, a solução mais simples é barrar a prévia de conteúdo do SMS. Isso é algo bem fácil de fazer, independente de você ser usuário de um sistema iOS ou Android. Então, para isso, siga os seguintes passos:

No iOS:

  • Abra a guia “Ajustes”;
  • Vá para “Notificações”;
  • Clique na opção “Pré-visualizações” no topo da tela se quiser desabilitar todas as notificações da tela de bloqueio de uma vez só.
  • Selecione “Quando desbloqueado” (para que a prévia da mensagem apareça somente com o smartphone aberto) ou “Nunca” (para que o conteúdo da mensagem só seja visto quando você abrir o app correspondente).
(Captura de imagem: Sérgio Oliveira)
(Captura de imagem: Sérgio Oliveira)
(Captura de imagem: Sérgio Oliveira)

No Android:

  • Abra o menu “Configurações”;
  • Vá para “Apps e notificações”, depois “Notificações”;
  • Escolha a opção “Na tela de bloqueio”;
  • Defina “Não exibir notificações” (para que a aplicação não mande nenhuma notificação) ou “Ocultar conteúdo” (para que a prévia não seja exibida).
(Captura de imagem: Rafael Arbulu)
(Captura de imagem: Rafael Arbulu)

Com essas medidas simples, você já reforça a segurança trazida pela 2FA. O bom é que, mesmo que seu celular não tenha sido roubado mas, digamos, você esteja com ele em um ambiente lotado, isso evita a ação de bisbilhoteiros que podem estar de olho na sua tela sem você perceber. Contudo, isso não ajuda muito se quem o roubou tiver um mínimo de conhecimento técnico e, digamos, remova o seu chip e o use em outro smartphone, com configurações diferentes das suas.

Mas a boa notícia é que, para isso, também há como se prevenir.

O ladrão tirou meu chip! O que eu faço?

Remover a prévia de notificações já é uma bela ajuda para aprimorar a segurança em dois fatores das suas contas e recursos online no smartphone. Mas tais configurações são atreladas ao sistema, ou seja, elas mudam de aparelho para aparelho. Em outras palavras, se o seu chip (cartão SIM) for inserido em outro smartphone — e isso é bem fácil de fazer —, as notificações obedecerão às configurações deste “novo” aparelho e não necessariamente do seu. Neste caso, a solução é configurar o seu próprio chip; mas calma, é mais fácil do que parece.

A fim de proteger também o seu chip, é necessário que você adicione um código de quatro dígitos (PIN) a ele. Desta forma, esse código será exigido sempre que o cartão SIM for inserido em outro aparelho, condicionando o seu funcionamento a mais uma camada de segurança: sem o código, o cartão SIM não é ativado; sem ativação, o aparelho não recebe mensagens nem ligações.

Novamente, as opções variam dependendo de você ser um usuário de Android ou iOS, então as duas seguem abaixo:

Inserindo o PIN no cartão SIM pelo iOS:

  • Vá para “Ajustes”;
  • Role a tela até ver a opção “Telefone” e clique nela;
  • Clique em “SIM PIN” e habilite essa opção;
  • Insira seu PIN atual. Se não tiver definido um, use o código padrão definido pela operadora – você pode encontrá-lo no kit inicial do seu SIM;
  • Clique em “Alterar PIN” e crie um código seu, fora do padrão;
  • Insira seu novo PIN;
  • Depois disso insira mais uma vez o seu novo código PIN e repita para confirmar

Inserindo o PIN no cartão SIM pelo Android:

  • Abra o menu “Configurações” e vá para a opção “Segurança e Localização”;
  • Selecione “Bloqueio do SIM” e “Bloquear cartão SIM”;
  • Quando solicitado, insira o PIN do SIM. Se não tiver definido um, encontre o PIN padrão nos documentos do seu cartão;
  • Escolha “Alterar PIN do SIM”;
  • Insira o PIN antigo;
  • Insira o novo PIN (e de novo para confirmar)
Não deixe que seu celular seja utilizado para o roubo de seus dados

Fazendo isso, o seu chip também estará protegido, efetivamente tornando a segurança das suas contas mais robusta não apenas por uma autenticação em dois fatores via SMS no seu celular, mas também impedindo que outras pessoas possam ver essas mensagens. É um passo a mais que você pode tomar para que proteja seus dados.

*No caso de aparelhos Android, os nomes de menus e opções podem aparecer diferentes, haja vista de eles serem criados pelas inúmeras fabricantes que usam o sistema operacional da Google.

via Canaltech

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *