Category: autenticação de dois fatores (2FA)

Como ativar a autenticação de dois fatores no X (Twitter)

3 de janeiro de 2025

Como ativar a autenticação de dois fatores no X (Twitter)

Saiba o passo a passo para proteger sua conta no X, antigo Twitter, usando a autenticação de dois fatores (ilustração: Vitor Pádua/Tecnoblog)

O X (Twitter) permite ativar o recurso de autenticação de dois fatores (2FA) como reforço para a segurança da sua conta. Para habilitar o recurso, você deve acessar as configurações de segurança e selecionar um dos métodos disponíveis.

É possível escolher entre receber o código de verificação via SMS (para assinantes do X Blue), usar um aplicativo de autenticação ou configurar uma chave de segurança física. Com essas proteções extras, você impede o acesso por pessoas não autorizadas.

Descubra como ativar a autenticação de dois fatores no X (Twitter) e proteger sua conta.

Índice1. Abra o menu “Mais” do X (Twitter)2. Acesse as Configurações do X (Twitter)3. Selecione as opções de segurança4. Clique em “Autenticação em duas etapas”5. Escolha o formato de autenticação de dois fatores do X6. Informe sua senha7. Inicie a configuração da autenticação de dois fatores8. Use um app de autenticação para ler o QR Code9. Insira o código de confirmação do app de autenticação10. Finalize a configuração da autenticação em duas etapasPor que não consigo ativar a autenticação de dois fatores no X (Twitter)?É preciso pagar para usar o SMS como verificação em duas etapas no X?Posso ter mais de um método de autenticação habilitado no X?Qual é a diferença entre usar a autenticação de dois fatores via SMS e via aplicativos?Posso desativar a autenticação de dois fatores no X?

1. Abra o menu “Mais” do X (Twitter)

Acesse x.com usando navegador do PC e faça login na sua conta, se necessário. Então, clique em “Mais”, no menu na lateral esquerda da tela, para ver mais opções.

Acessando o menu “Mais” do X (imagem: Lupa Charleaux/Tecnoblog)

2. Acesse as Configurações do X (Twitter)

No submenu, selecione a opção “Configurações e privacidade” para avançar.

Selecionando a opção “Configuração e privacidade” (imagem: Lupa Charleaux/Tecnoblog)

3. Selecione as opções de segurança

No menu “Configurações”, no centro da página do X (Twitter), clique em “Segurança e acesso à conta”. Em seguida, selecione a opção “Segurança”, no canto direito da tela, para ver mais recursos.

Selecionando as opções “Segurança e acesso à conta” e “Segurança” do X (imagem: Lupa Charleaux/Tecnoblog)

4. Clique em “Autenticação em duas etapas”

No canto direito da página, clique em “Autenticação em duas etapas” para acessar as opções do recurso de proteção da conta do X (Twitter).

Abrindo o menu “Autenticação em duas etapas” do X (imagem: Lupa Charleaux/Tecnoblog)

5. Escolha o formato de autenticação de dois fatores do X

Marque a opção de autenticação em duas etapas que você deseja usar para proteger a sua conta do X (Twitter):

Mensagem de texto: receber uma SMS no seu celular com um código de autenticação quando realizar um novo login no X. Opção exclusiva para assinantes do X Blue;

Aplicativo de autenticação: usar um app de autenticação para celular, como o Google Authenticator, para gerar um código de verificação sempre que acessar a rede social em um novo dispositivo;

Chave de segurança: configurar uma chave de segurança física que deve ser inserida no PC ou sincronizada com o dispositivo móvel para autorizar o login no X.

Neste guia, mostraremos como configurar a proteção da conta usando o aplicativo de autenticação. Entretanto, os processos são semelhantes nos outros formatos de proteção da conta.

Tela de seleção do método de autenticação em duas etapas no X (imagem: Lupa Charleaux/Tecnoblog)

6. Informe sua senha

Na janela pop-up, insira sua senha de acesso do X para confirmar sua identidade e avançar na configuração.

Inserindo a senha do X para confirmar sua identidade (imagem: Lupa Charleaux/Tecnoblog)

7. Inicie a configuração da autenticação de dois fatores

Leia as instruções do X (Twitter) e clique no botão “Comece já” para iniciar a configuração da autenticação de dois fatores.

Iniciando a configuração da autenticação em duas etapas usando o app de autenticação (imagem: Lupa Charleaux/Tecnoblog)

8. Use um app de autenticação para ler o QR Code

Use um aplicativo de autenticação móvel para escanear o QR Code do X (Twitter) e, depois, clique em “Avançar”.

Escaneando o QR Code do X para configurar o app de autenticação (imagem: Lupa Charleaux/Tecnoblog)

9. Insira o código de confirmação do app de autenticação

Digite o código de confirmação gerado pelo aplicativo de autenticação e, depois, clique em “Confirmar” para avançar.

Informando o código de verificação gerado pelo app de autenticação (imagem: Lupa Charleaux/Tecnoblog)

10. Finalize a configuração da autenticação em duas etapas

Se correr tudo certo com a ativação da autenticação em duas etapas, você verá uma tela com a mensagem “Está tudo pronto”. Então, copie ou escreva o código de backup da sua conta em um lugar seguro.

Por fim, clique no botão “Concluído” para finalizar.

Concluindo a autenticação em duas etapas no X (imagem: Lupa Charleaux/Tecnoblog)

Por que não consigo ativar a autenticação de dois fatores no X (Twitter)?

Há alguns motivos que podem impedir a ativação da autenticação de dois fatores no X (Twitter). Os mais comuns são:

Exclusividade para assinantes X Blue: a opção de receber o código de autenticação via SMS é exclusiva para assinantes do X Blue. Usuários sem assinatura não podem usar a ferramenta de proteção;

Código de verificação expirado: o código gerado pelo aplicativo de autenticação tem um tempo de validade limitado. Veja se o código que você está inserindo ainda é válido;

Problemas com cache do navegador: arquivos antigos armazenados pelo navegador podem interferir na configuração da autenticação. Limpe o cache e os cookies do seu navegador e tente novamente;

Extensões do navegador: algumas extensões podem atrapalhar o funcionamento de determinadas partes da página do X, impedindo a ativação da autenticação. Desabilite temporariamente as extensões e verifique se o problema está resolvido.

É preciso pagar para usar o SMS como verificação em duas etapas no X?

Sim, para usar a verificação em duas etapas por SMS no X (Twitter) é obrigatório ser assinante do X Blue. Lembrando que a assinatura da rede social permite ter a conta verificada no X e outros recursos exclusivos.

Posso ter mais de um método de autenticação habilitado no X?

Sim, o X permite configurar múltiplos métodos de autenticação, o que torna sua conta ainda mais segura. Além da senha, você pode combinar os recursos de verificação em duas etapas, como receber os códigos via SMS e por meio de aplicativos de autenticação.

Ao combinar diferentes métodos de autenticação, você cria uma barreira extra contra acessos não autorizados, mesmo que alguém descubra sua senha. Além disso, a autenticação de multifator pode facilitar a recuperação da sua conta em caso de perda da senha.

Qual é a diferença entre usar a autenticação de dois fatores via SMS e via aplicativos?

A autenticação em duas etapas via SMS é um método em que o código de verificação é enviado para o seu número de celular no momento do login. Embora seja fácil de configurar, essa opção é menos segura, pois as mensagens de texto podem ser interceptadas e os números de telefone podem ser clonados.

A autenticação via aplicativos é um formato em que códigos exclusivos são gerados regularmente com intervalo de segundos, reduzindo as chances de interceptação. Os apps ainda oferecem recursos adicionais, como gerar códigos offline e a sincronização entre dispositivos.

Posso desativar a autenticação de dois fatores no X?

Sim, você consegue desativar a autenticação de dois fatores no X. Para isso, você deve abrir o menu “Autenticação em duas etapas” nas configurações da rede social e desmarcar a caixa da opção que está sendo usada para a proteção da conta.
Como ativar a autenticação de dois fatores no X (Twitter)

Como ativar a autenticação de dois fatores no X (Twitter)
Fonte: Tecnoblog

Android 15 deve proteger notificações com códigos para login

20 de fevereiro de 2024

Android 15 deve proteger notificações com códigos para login

Android 15 deve chegar só no segundo semestre (imagem: Vitor Pádua/Tecnoblog)

O Android 15 poderá ter proteções adicionais para evitar que aplicativos maliciosos tenham acesso a códigos de login enviados para o aparelho por e-mail ou SMS. Trechos do código da versão beta do Android 14 sugerem que o Google está trabalhando para limitar estas informações.

O jornalista Mishaal Rahman, do Android Authority, analisou o código do Android 14 QPR3 Beta 1 e encontrou uma permissão específica para os aplicativos receberem notificações sensíveis. O nível de proteção dela sugere que apenas apps certificados por fabricantes poderão ter esse tipo de acesso. Assim, fica mais difícil para um malware conseguir ler códigos de login.

Notificações com códigos são ponto vulnerável (imagem: Andrew Mantarro/Unsplash)

Além disso, a plataforma conta com um recurso, ainda em desenvolvimento, que oculta informações de notificações sensíveis. Assim, apps que usam o serviço de checar notificações não conseguiriam ler o que está escrito nessas mensagens.

Google prepara proteções desde o Android 13

Estas duas pistas se juntam a uma terceira, mais antiga. O código do Android 14 tem um sinalizador para ocultar notificações de senhas de uso único (OTPs, na sigla em inglês) na tela de bloqueio. Este sinalizador ainda não é usado, mas existe a possibilidade de ele ser colocado para funcionar na próxima versão.

O Google, portanto, está preparando três recursos para impedir que aplicativos maliciosos tenham acesso a notificações com códigos de autenticação em dois fatores (2FA, na sigla em inglês) e OTPs. Além disso, desde o Android 13, aplicativos de fontes não confiáveis (de fora da Play Store, por exemplo) não têm acesso ao serviço de monitorar notificações, por motivos de segurança.

Com informações: Android Authority
Android 15 deve proteger notificações com códigos para login

Android 15 deve proteger notificações com códigos para login
Fonte: Tecnoblog

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

26 de janeiro de 2024

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Ataque de pulverização de senhas deu acesso a conta sem 2FA (imagem ilustrativa: Vitor Pádua/Tecnoblog)

A Microsoft detalhou um ataque hacker a seus sistemas, que permitiu acesso a e-mails corporativos de lideranças da empresa. A invasão foi possível porque havia uma conta de testes sem autenticação de dois fatores. Foi a partir dela que os atacantes conseguiram acesso às plataformas. A companhia atribui a ação ao grupo russo Midnight Blizzard e alerta que outras organizações estão sob risco.

O ataque foi revelado no último dia 19 de janeiro, quando a Microsoft comunicou o ocorrido à SEC, entidade responsável por fiscalizar o mercado financeiro nos EUA. Nesta sexta (26), a empresa publicou os detalhes em seu blog.

A invasão usou a técnica de pulverização de senha, também conhecida como password spray. Nesta técnica, os hackers usam algumas senhas comum (às vezes, apenas uma) para tentar entrar em várias contas ao mesmo tempo. Segundo a Microsoft, o grupo “adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando poucas tentativas para não ser detectado”.

Deu certo. Os atacantes conseguiram entrar em uma conta de teste legada e não produtiva, nas palavras da própria Microsoft. Isso significa que essa conta não era usada para trabalho, apenas para testes de um ambiente antigo. Ela não contava com autenticação de dois fatores (2FA). Isso teria impedido o ataque.

Com acesso a essa conta, os hackers comprometeram um aplicativo de teste com autenticação OAuth e o utilizaram para conseguir mais acessos nos sistemas da Microsoft.

Lideranças dos departamentos de cibersegurança e legal da Microsoft tiveram seus e-mails acessados (Imagem: Stephen Brashear/Microsoft)

Hackers podem ter atacado outras organizações

A Microsoft diz que o grupo conhecido como Midnight Blizzard foi o responsável pela invasão. Ele também é conhecido como Nobelium, APT29 e Cozy Bear. Suspeita-se que os hackers estejam trabalhando a serviço do Serviço de Inteligência Estrangeiro da Rússia.

A empresa diz que os hackers conseguiram acesso a um número muito pequeno de contas de e-mail corporativo da Microsoft, nas áreas de liderança, cibersegurança e legal. Curiosamente, o objetivo dos hackers parecia ser encontrar informações sobre eles mesmos, para descobrir o que a companhia sabia.

Além disso, a Microsoft afirma que os mesmos atacantes têm atacado outras organizações, que estão sendo notificadas pela empresa. A Hewlett Packard Enterprise, braço da HP dedicado a clientes corporativos, revelou que seu sistema de e-mail também foi hackeado. O serviço é hospedado pela Microsoft. O grupo Midnight Blizzard também foi responsável por este ataque.

Com informações: TechCrunch, Bleeping Computer, The Verge
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Fonte: Tecnoblog

Mais segurança pode significar menos senhas (ou senha nenhuma)

10 de novembro de 2023

Mais segurança pode significar menos senhas (ou senha nenhuma)

A senha é um dos elementos mais básicos de nossa vida on-line, e da própria computação pessoal. Está presente há décadas: desde o ano do começo da década de 1960, para ser mais preciso.

As chaves de acesso, ou passkeys, podem substituir as senhas tradicionais (Imagem: Vitor Pádua / Tecnoblog)

Havia no MIT um computador chamado de Compatible Time-Sharing System (CTSS). Essa máquina foi a precursora de algumas das funcionalidades mais importantes da computação, como o e-mail e o compartilhamento de arquivos.

Uma vez que vários pesquisadores utilizavam o CTSS, era necessário assegurar a privacidade dos arquivos de cada um. Foi nesse contexto que surgiu a senha. Já na época, a solução pareceu óbvia, além de relativamente fácil de implementar. A partir daí, ela se tornou a forma mais difundida de autenticação nos computadores.

Estamos em 2023, no entanto, e muita coisa mudou. Os avanços em segurança da informação foram muitos, mas, quando se fala de senhas, vulnerabilidades sempre estão presentes. Vazamentos ocorrem com frequência, além de golpes para roubo de dados, como o famoso phishing.

Assim, por mais estranho que possa soar, o próximo capítulo da história da autenticação pode ser uma guinada para longe das senhas.

Passkeys entram em cena

As chaves de acesso, ou passkeys, no original, são uma forma de autenticação que vem ganhando mais espaço em plataformas do Google, Apple e Microsoft. Com elas, você não precisa de uma senha para acessar suas contas.

O processo é semelhante ao desbloqueio do celular. Ao invés da senha alfanumérica, você poderá utilizar a biometria facial ou impressão digital para fazer o login em algum serviço. Outros meios de validar sua identidade podem ser o PIN do Windows Hello e o padrão geométrico do celular.

O Google já liberou a funcionalidade para usuários já ativos, mas a oferece como padrão para novas contas. A empresa afirma que as passkeys são 40% mais rápidas do que as senhas tradicionais. Além de mais seguras.

Isso porque ficam armazenadas nos dispositivos em si, como uma chave criptográfica privada. Quando o usuário cadastra uma passkey, outra chave correspondente — a chave pública — é enviada ao serviço em questão. A relação entre ambas é a seguinte, de acordo com o blog de segurança do Google:

Quando você faz login, pedimos ao seu dispositivo que assine um desafio exclusivo com a chave privada. Seu dispositivo só fará isso se você aprovar, o que requer o desbloqueio do dispositivo. Em seguida, verificamos a assinatura com sua chave pública.

Não há necessidade de memorizar uma senha para logar, portanto. E, se não há senha cadastrada, não há senha que agentes maliciosos possam roubar. Sem senhas, não há vazamento de senhas.

É má notícia também para golpistas que praticam o phishing, criando sites falsos que se parecem com os de serviços verdadeiros para coletar dados. Uma vez que não há senha, e a chave pública só fica armazenada num serviço específico — a nuvem do Google, por exemplo —, não há o que ser roubado.

O Google permite até mesmo que a verificação em duas etapas seja pulada com o uso de passkeys. Vale lembrar que muitas pessoas utilizam o SMS como segunda etapa, o que as coloca em risco em caso de SIM swap. Menos uma preocupação.

Senhas por toda parte

No Tecnocast 312, conversamos sobre as passkeys e nossa relação com as senhas. Um ponto destacado é que, ao longo de nossa vida digital, administrar a quantidade de senhas foi se tornando caótico.

O motivo é óbvio para qualquer um que use a internet: tudo exige login e senha. Dessa forma, temos cada vez mais informação para gerir. Isso leva muita gente a criar senhas fracas, ou repetir a mesma senha em diversos serviços, o que não é indicado.

Para ajudar pôr ordem na bagunça, entram em cena os gerenciadores, capazes de gerar senhas fortes e armazená-las. Mas isso não é suficiente: a necessidade por mais segurança traz os aplicativos voltados para verificação em duas etapas para a mesa.

No entanto, ainda há uma parcela significativa de pessoas que não usam essas ferramentas, ou então mantém o SMS como forma básica de autenticação em dois fatores.

Não tem jeito: onde há senha, há vulnerabilidade, por maiores que tenham sido os avanços em segurança da informação nas últimas décadas. Vazamentos ocorrem com frequência, e novos golpes surgem a todo momento.

Por todos esses motivos, fica fácil entender o ímpeto de deixar as senhas para trás. E a adesão das principais empresas de tecnologia tende a tornar a tecnologia mais disseminada nos próximos anos.

O Google não esconde que as passkeys são parte de um projeto. As senhas continuam valendo por agora e certamente continuarão entre nós por muito tempo, afinal, nem todo dispositivo dá suporte às passkeys. Mas isso tende a mudar. O objetivo é claro: construir um futuro sem senhas.
Mais segurança pode significar menos senhas (ou senha nenhuma)

Mais segurança pode significar menos senhas (ou senha nenhuma)
Fonte: Tecnoblog

123Next ›Last »