Quando se trata de segurança cibernética, uma camada não é suficiente. Uma senha complexa (ou criada com um gerenciador de senhas) faz um bom trabalho para proteger seus dados, mas ainda pode ser quebrada. A autenticação de dois fatores reforça isso adicionando uma segunda camada de segurança, oferecendo ainda mais proteção contra ameaças online.
Com a autenticação de dois fatores, também conhecida como 2FA, o serviço no qual você está efetuando login exigirá duas coisas para autenticar: algo que você sabe e algo que você tem. Sua senha serve como "algo que você sabe" e o aplicativo 2FA fornece o aspecto "algo que você tem". Com o 2FA, você precisa ter seu telefone (ou, para alguns, seu computador) por perto para fazer login, dificultando o acesso de um hacker distante à sua conta.
Embora essa segunda camada não seja infalível, ela melhora drasticamente suas defesas. Mesmo se alguém obtivesse sua senha, eles também precisariam de acesso físico ao seu telefone para recuperar uma senha temporária para desbloquear sua conta. Nem todos os sites oferecem suporte a esse recurso, mas os sites mais populares já oferecem, e você pode verificar a compatibilidade usando a autenticação de dois fatores.
No entanto, nem todos os 2FA são iguais. Alguns sites oferecem suporte apenas ao envio do código via SMS ou e-mail. Essas são opções menos seguras, pois alguém pode acessar esses métodos remotamente. É por isso que sua melhor aposta é uma opção com um token baseado em software, e esse é o método suportado por cada um dos aplicativos da nossa lista.
Índice
Gráfico de comparação
Principais pontos de comparação
- Modo offline: Capacidade de gerar códigos 2FA sem a necessidade da Internet.
- Código aberto: O código-fonte está disponível ao público para qualquer pessoa auditar. Embora o código aberto ofereça uma vantagem, nenhum aplicativo em nossa lista é de código aberto (embora alguns aproveitem várias tecnologias de código aberto).
- Backups criptografados: O banco de dados de tokens é criptografado e feito backup separadamente do seu dispositivo. Dessa forma, se você atualizar seu telefone, poderá facilmente levar seus códigos com você sem precisar registrar seu novo telefone em todas as suas contas.
- Aplicativo de desktop: Se o serviço possui uma versão para desktop, você não precisa necessidade seu smartphone ao fazer login em suas contas. Ter um aplicativo dedicado é favorável a uma extensão, o que limita você a um navegador.
- Aplicativo Smartwatch: O serviço suporta um (ou mais) dos principais sistemas operacionais de smartwatch. O Wear OS é o sistema operacional smartwatch baseado em Android, enquanto o watchOS é o sistema operacional smartwatch baseado em iOS. Se um aplicativo suportar um desses sistemas operacionais, você poderá recuperar os códigos mesmo quando o telefone estiver no bolso.
- Proteção por senha: Integrada ao aplicativo está a capacidade de bloquear intrusos usando alguma forma de autenticação. O Authy e o LastPass oferecem suporte a um código PIN, scanner de impressão digital, Touch ID ou Face ID (dependendo do modelo do iPhone que você está usando).
- Sincronização de vários dispositivos: A capacidade de sincronizar dados em vários dispositivos com acesso aos seus tokens. Qualquer conta adicionada ou removida em um dispositivo também será adicionada ou removida nos outros dispositivos.
- Tempo ajustável de OTP: A capacidade de ajustar o tamanho da disponibilidade da senha descartável. Tempos mais curtos tornam mais difícil para os hackers, mas podem ser muito inconvenientes. Normalmente, o cronômetro padrão fica entre 15 e 30 segundos. Para os dois aplicativos compatíveis com o recurso, ambos exigem entradas manuais.
- Comprimento ajustável do código: A capacidade de ajustar o tamanho da senha descartável. Para os dois aplicativos compatíveis com o recurso, ambos exigem entradas manuais. Códigos mais longos dificultam a invasão.
- Notificações via push: Em vez de precisar inserir códigos, alguns aplicativos da nossa lista oferecem suporte a notificações por push. Os tokens são trocados em segundo plano sem exigir que você copie os números; portanto, tudo que você precisa fazer é aceitar ou negar a solicitação. No entanto, o site deve incluir suporte, limitado a todos os aplicativos da nossa lista.
- Notificações de segurança: A capacidade de enviar alertas sempre que forem feitas alterações em suas contas associadas ao aplicativo 2FA. O Microsoft Authenticator introduziu recentemente esse recurso, em que o aplicativo informa se alguma alteração ocorre em sua conta, como uma alteração de senha.
- Gerenciador de Senhas: A capacidade de armazenar nomes de usuário e senhas para suas várias contas online. Embora não seja necessário para um autenticador, é conveniente ter um balcão único para sua primeira linha de defesa.
- Preenchimento automático e login: A capacidade de preencher e enviar automaticamente suas credenciais de login. Exclusivo do SAASPASS em nossa lista, você pode abrir um aplicativo e fazer login sem tocar em nada.
Como escolhemos esses aplicativos
Para restringir o campo de aplicativos 2FA na iOS App Store e no Google Play Store, definimos algumas regras básicas. Como você pode ver no título do artigo, não acreditávamos necessário fazer uma lista separada para Android e iOS. Como a funcionalidade é semelhante nas duas plataformas, parecia desnecessário focar em um sistema operacional em outro. Além disso, os aplicativos compatíveis com os dois sistemas operacionais beneficiarão mais usuários, pois é provável que você esteja usando uma dessas duas plataformas móveis (existem estamos (SailfishOS e tecnicamente usuários do Windows Phone ainda estão por aí).
Infelizmente, essa decisão eliminou algumas ótimas opções, incluindo o código aberto eOTP, limitado apenas ao Android.
Um segundo requisito era que cada aplicativo tivesse atualmente o suporte de seus desenvolvedores. O suporte regular garante que os bugs e vulnerabilidades serão tratados em tempo hábil e que novas atualizações no sistema operacional móvel (como API de preenchimento automático no Android 8.0 Oreo e API do Gerenciador de senhas no iOS 12) podem ser aproveitadas. Eliminamos qualquer aplicativo que não recebia uma atualização há pelo menos um ano. Por exemplo, o FreeOTP foi removido de consideração porque sua última atualização no Android foi em 2016 e no iOS em 2014.
Como a maioria de nós não deseja pagar por aplicativos, focamos apenas em aplicativos 2FA gratuitos. Embora existam opções pagas sólidas, com tantas excelentes opções gratuitas, achamos que fazia pouco sentido não limitar nossa lista a elas. Dessa forma, o custo não será um fator para decidir quais aplicativos da nossa lista você deve usar.
Todos os aplicativos da nossa lista oferecem suporte ao TOTP (Algoritmo de senha descartável com base no tempo), o método preferido para o token 2FA baseado em software. Com esse requisito, você pode ter certeza de que, em qualquer lugar 2FA via token baseado em software, esses aplicativos funcionarão.
App 1: SAASPASS
Quando comecei a pesquisar para esta lista, não tinha conhecimento do SAASPASS. Me deparei com ele na App Store e fiquei intrigado com suas classificações estelares. Depois de instalar o aplicativo para testá-lo, aprendi rapidamente por que ele merecia críticas.
O SAASPASS é um dos únicos autenticadores da nossa lista a exigir proteção por PIN. Durante a configuração inicial, você é solicitado a criar um código PIN de quatro dígitos que pode ser alterado para seis dígitos nas configurações do aplicativo. Você também tem a opção de usar impressões digitais ou reconhecimento facial (atualmente limitado ao Face ID da Apple) após a configuração inicial.
Desejo que o SAASPASS permita códigos de acesso mais fortes, principalmente porque um de seus melhores recursos é o gerenciador de senhas, o que significa que o SAASPASS permite armazenar seus nomes de usuário e senhas on-line. Combine isso com a funcionalidade básica do token 2FA e você poderá efetuar login e autenticar em uma ação.
O SAASPASS suporta mais de 60 mil sites, portanto, a maioria dos serviços que você usa (se não todos) oferece suporte. Você pode até usá-lo para bloquear e desbloquear remotamente o seu computador.
O SAASPASS também possui o mais amplo suporte de SO da nossa lista. No lado móvel, há um aplicativo para BlackBerry ao lado do Android e iOS. Na área de trabalho, você pode usar os aplicativos macOS e Windows (Windows 7 e mais recentes) e em qualquer sistema operacional em que o Google Chrome esteja disponível.
O SAASPASS também permite o uso de vários dispositivos, digitalizando um código QR seguro a partir do primeiro dispositivo configurado. Depois de digitalizado, você poderá acessar seu token nos dois dispositivos. Esse é um dos métodos mais seguros de restauração, pois elimina a possibilidade de interceptação enquanto exposto na Web.
Também há uma opção para recuperar sua conta, caso você não tenha mais acesso ao número de telefone com o qual se registrou. Esse número ainda pode ser protegido usando uma pergunta de segurança personalizada.
Se você é novo no 2FA ou o utiliza há anos, este é o aplicativo para você. Isso torna o processo incrivelmente fácil com o recurso de preenchimento automático e login automático. Admito que não é o aplicativo mais bonito do mundo, mas faz o trabalho e é personalizável até certo ponto. Com seu amplo suporte a dispositivos e a capacidade de desbloquear o computador, não há melhor opção disponível.
Aplicativo 2: LastPass Authenticator
As próximas duas opções da nossa lista são próximas aos recursos. A maior vantagem do LastPass Authenticator é sua integração com o LastPass Password Manager. Mas se você ainda não é um usuário do LastPass Password Manager e / ou não planeja ser, a escolha é um pouco mais difícil.
- Instale o LastPass Authenticator: Android (grátis) | iOS (grátis)
O LastPass suporta backups criptografados. A única ressalva é que ela requer uma conta LastPass, que normalmente é usada para armazenar senhas online. Você também precisa habilitar a autenticação multifator na sua conta LastPass (que não pode ser feita no aplicativo) por meio da autenticação LastPass, outro aplicativo de autenticação ou outro fator (como uma chave de hardware). Embora isso não seja um grande problema, você pode achar irritante ser forçado a usar um gerenciador de senhas que não queria usar em primeiro lugar.
Mas o mais estranho é que os dois aplicativos são separados um do outro. Não há como acessar o autenticador pelo gerenciador de senhas e vice-versa; portanto, enquanto os dois aplicativos compartilham a mesma conta, não há outra conexão. Dito isto, o LastPass é o melhor gerenciador de senhas nas duas plataformas; portanto, se você não possui um gerenciador de senhas, é uma ótima maneira de matar dois coelhos com uma cajadada só.
O motivo pelo qual recomendamos a opção do LastPass Authenticator em relação às outras opções da nossa lista é a capacidade de ajustar os parâmetros do token. Embora exija a inserção manual do código (em vez de digitalizar um código QR), você pode modificar a duração do código disponível e o tamanho do próprio código. Dependendo da sua necessidade de segurança ou conveniência, esse recurso pode ser benéfico.
No entanto, embora esse recurso seja útil, provavelmente não será usado pelo público em geral. O que será usado é a versão para desktop, que o LastPass não possui – o único aplicativo em nossa lista que não possui. Além disso, também é o único aplicativo da nossa lista que não suporta smartwatches, outra conveniência que os usuários comuns apreciariam.
Se você deseja ter mais controle sobre o token do software, o LastPass Authenticator é sua melhor aposta. Também é uma ótima opção se você já é um usuário do LastPass Password Manager. Mas você é meio que forçado a entrar no ecossistema LastPass; portanto, se você não quiser isso, procure outro lugar.
App 3: Authy
Eu aprendi sobre o Authy após frustrações com o Google Authenticator, particularmente um recurso que faltava. Depois de trocar o telefone e configurar o novo telefone, percebi que, embora pudesse restaurar a maioria dos dados graças a backups, não tinha acesso ao meu token. Sem meu telefone antigo, eu não conseguiria acessar minhas contas. Após algumas pesquisas, aprendi que a única maneira de obter meu token era fazer login novamente em cada conta e usar meu novo telefone para definir o 2FA.
Bem, depois de dois comutadores telefônicos, eu disse "basta" e procurei uma solução melhor. E foi então que descobri a Authy.
Meu recurso favorito do Authy é seus backups criptografados. Sempre que troco de telefone, tudo o que preciso fazer é abrir o Authy no novo telefone e inserir meu número de telefone. Em seguida, são apresentadas várias opções para conectar contas, incluindo SMS, telefonemas e e-mail. Devido ao risco de segurança dessas opções, acho que a melhor opção é usar um dispositivo existente. Um prompt é exibido no meu telefone antigo. Depois de inserir a frase designada, meus tokens são transferidos para o meu novo dispositivo. Mas espere, tem mais.
Como afirmado anteriormente, os backups são criptografados. Portanto, você precisa de uma senha da qual a criptografia é derivada. Sem a senha, posso ver em qual site tenho um token, mas não consigo ver o próprio token. Além disso, você pode limitar quais dispositivos têm acesso ao seu token.
Para segurança máxima, depois de configurar o seu novo telefone, você deve desativar o "dispositivo múltiplo", que permite que os tokens sejam sincronizados entre dispositivos. Com isso desativado, mesmo que alguém use os outros métodos para acessar sua conta, eles não poderão receber o token. Além disso, mesmo com vários dispositivos desativados, você ainda pode acessar seu banco de dados em vários dispositivos, como um tablet ou computador. E quando você deseja remover o acesso aos seus tokens baseados em software desses dispositivos secundários, basta selecionar o dispositivo abaixo de "Permitir vários dispositivos" e escolher "remover dispositivo". Este botão impedirá que o dispositivo atualize o banco de dados com os tokens corretos, bloqueando o acesso à sua conta protegida.
Authy também leva em consideração sua segurança. Independentemente de quão bem os aplicativos 2FA melhoram a segurança da sua conta, se o aplicativo pode ser facilmente superado, a melhoria da segurança é mínima. Com o Authy, você está protegido contra phishing, malware, adivinhação de senha de força bruta e ataques man-in-the-middle.
A única reclamação importante que tenho para a Authy é como os dispositivos são rotulados. Ao compartilhar seu banco de dados com vários dispositivos, os telefones Android são listados apenas como "Android", tornando impossível discernir qual é qual. No entanto, iPhones e PCs são facilmente rotulados com base nos nomes atribuídos. No lado positivo, os tokens são rotulados maravilhosamente com um localizador de ícones automático que também pode ser acionado manualmente quando um ícone é alterado.
Authy é um dos melhores aplicativos de autenticação de dois fatores disponíveis nos dois sistemas operacionais. A interface é fácil de usar e você pode transferir seus tokens com segurança. Você pode até alterar o layout da página principal para facilitar a navegação. Embora não tenha chegado em primeiro lugar, também não ficou muito atrás.
Aplicativo 4: Microsoft Authenticator
Semelhante ao Google Authenticator, o Microsoft Authenticator não faz backups na nuvem. No entanto, ao contrário do Google, ele é melhor suportado e oferece notificações por push. Embora o último exija que o usuário esteja no ecossistema da Microsoft, ainda é uma grande conveniência ter e o suficiente para recomendá-lo pelo Google Authenticator.
- Instale o Microsoft Authenticator: Android (grátis) | iOS (grátis)
Um dos melhores recursos do Microsoft Authenticator é o suporte a notificações por push. Desde que você esteja usando o aplicativo para autenticar uma conta do Microsoft ou Azure Active Directory, em vez de precisar digitar um código, você receberá uma notificação solicitando a aprovação ou negação do token enviado ao seu dispositivo. Se o token no seu dispositivo for o mesmo que você vê na tela de login, selecione "Aprovar" e você se identificou. O processo é muito mais fácil do que digitar códigos e, enquanto três outros aplicativos suportam o recurso, o número de serviços que os suportam é limitado.
Recentemente, a Microsoft introduziu notificações de segurança. Esse recurso envia um alerta para o seu telefone sempre que um evento importante ocorre com uma de suas contas. Isso inclui se sua senha foi alterada, um login de um novo dispositivo ou um login de um novo local. Dessa forma, você fica imediatamente sabendo se uma ação não autorizada ocorre e pode seguir o curso de ação correto.
Fomos para frente e para trás ao decidir entre a Microsoft e o Google Authenticator sobre qual deveria ir adiante do outro. Por fim, ele veio para apoiar e enviar notificações avançadas sobre o Google. Com o Microsoft Authenticator recebendo várias atualizações por mês, em comparação com o Google (mais sobre isso mais tarde), fazia mais sentido seguir em frente com o Google, mesmo com seu suporte limitado à área de trabalho.
Se você preferir a segurança de isolar seus dados em apenas um dispositivo e estiver vinculado ao ecossistema da Microsoft, este é o autenticador para você. Com o uso de notificações por push, além de um aplicativo sólido (bem atualizado) em várias plataformas, essa é uma ótima opção para quem usa contas da Microsoft e de terceiros.
App 5: Duo Mobile
O Duo Mobile foi projetado para empresas, oferecendo vários planos adequados para vários usuários. Como uma imagem completa, o Duo é uma plataforma de segurança para gerenciar o acesso e a autenticação de vários usuários. Mas, com a versão gratuita, torna-se um excelente aplicativo 2FA para consumidores bem projetado e fácil de usar.
Além de oferecer suporte aos mesmos serviços que o Google Authenticator suporta, o Duo Mobile (junto com o Authy) compartilha melhor suporte para serviços de terceiros e sites de mídia social. O Duo Mobile também é atualizado constantemente.
Ele suporta os usuários do Apple Watch com um aplicativo oficial para o watchOS. Possui um aplicativo oficial para Windows e macOS, para que você não precise do seu telefone ao fazer logon na área de trabalho (ou laptop).
Ele também suporta backups criptografados. O dispositivo que você está usando determinará onde os backups estão armazenados. Para iOS, os backups são armazenados no iCloud. Para o Android, os backups são armazenados no Google Drive. Recentemente, também adicionou a capacidade de restaurar contas de terceiros, exigindo a criação de uma senha de recuperação para proteger suas informações.
Onde o Duo Mobile brilha é quando usado em uma organização que já implementou o serviço. Isso abre o acesso ao Duo Push, sua versão de um token de software que substitui a necessidade de inserir (ou copiar) senhas por um prompt. No entanto, esse recurso não está disponível nos serviços da web mais populares.
Com backups criptografados e a capacidade de restaurar contas de terceiros, o Duo Mobile abordou uma de suas maiores desvantagens. Embora não possua alguns dos recursos de outros aplicativos autenticadores da nossa lista, é fácil de usar e versátil, graças ao suporte a chaves de segurança.
Este artigo foi produzido durante a cobertura especial do Gadget Hacks sobre privacidade e segurança de smartphones. Confira toda a série Privacidade e segurança.
Não perca:
Os melhores gerenciadores de senhas para Android
Os melhores gerenciadores de senhas para iPhone
——-
Comece sua carreira em Design Gráfico com o Curso do Gadget Hacks para o Photoshop
Compre agora por US $ 49,99>