As chaves de segurança U2F realmente mantêm você seguro?

Cheile de securitate U2F vă păstrează cu adevărat în siguranță?
⏱️ 4 min read

Ao chegar em casa, você fica em frente à porta e tateia em busca das chaves, depois as usa para destrancar a entrada. Você não digita um código, não fala com a porta e não responde a charadas como se estivesse falando com uma esfinge. É relativamente seguro, mas não causa uma grande dor de cabeça.

A versão da Internet disso é basicamente a chave U2F. Embora você ainda precise digitar sua senha, o trabalho extra que você tem a fazer com a autenticação de dois fatores desaparece porque tudo o que você precisa fazer é inserir sua chave física em um slot USB. Mas esse método é pelo menos tão seguro quanto outros métodos de autenticação? E, talvez mais importante, aborda algo novo?

Um rápido curso intensivo sobre autenticação U2F

Para explicar como o U2F funciona, você já deve entender a autenticação de dois fatores. Se você não está familiarizado com esse conceito, vamos usar o Google Authenticator como um exemplo prático: você digita seus detalhes de login para entrar no Google e, em seguida, o servidor pede que você abra o aplicativo Google Authenticator em seu telefone para obter um seis senha de uso único com dígitos. Esta última etapa garante que a pessoa que faz login em sua conta é a mesma pessoa que possui o telefone em que o GA foi instalado (presumivelmente, é você!). Algumas entidades (bancos, por exemplo) enviam um SMS para o número de telefone associado à sua conta com um código de seis a oito dígitos para obter o mesmo resultado. Outros (geralmente também bancos) fornecerão um dispositivo de token que gera esses números.

Ok, então a autenticação de dois fatores usará duas coisas para fazer o login (daí o nome): sua senha e um código extra associado a algo físico que você possui que só pode ser usado uma vez.

Agora que esclarecemos isso, é assim que o U2F funciona em poucas palavras: Ele faz tudo isso para você na forma de uma chave física, como a que você usa para abrir uma porta. A chave é inserida em um slot USB e você pressiona um botão para finalizar seu login. O pressionamento desse botão aciona um algoritmo que gera um código internamente e o envia automaticamente para o servidor de autenticação.

Bastante simples, certo?

Por que U2F?

Se você pode usar a autenticação de dois fatores pronta para uso, sem ter que comprar mais nada, por que as pessoas deveriam se esforçar para obter uma chave física? Para as empresas, a resposta é óbvia: você não precisa comprar dispositivos de token caros para seus funcionários. Mas quais são as vantagens para os consumidores? Vejamos:

  • Você nunca terá que digitar códigos, o que é muito conveniente.
  • Como você não precisa digitar códigos, o código interno transmitido automaticamente pela chave pode ser mais longo (normalmente cerca de 32 caracteres).
  • Você não precisa depender do seu telefone. (E se seu telefone quebrar ou você mudar de número?)

The Caveats

u2f-hacker

O motivo pelo qual não vejo o U2F sendo aplicado de forma tão ampla é que a autenticação de dois fatores já definiu o padrão. Está prontamente disponível e é suficientemente fácil para os provedores de serviço implementarem. Atualmente, apenas os principais serviços como Google, Facebook, Dropbox e GitHub apresentam compatibilidade.

Além desse problema, há também o problema do que ele aborda. Simplificando, será visto como uma versão glorificada da autenticação de dois fatores que é um pouco mais conveniente de usar. Não importa que o U2F resolva os ataques do Man in The Middle de forma mais eficiente (embora isso seja discutível, e vamos chegar a isso). A percepção é mais importante quando você está tentando vender uma ideia.

Provavelmente, a advertência mais importante é o fato de que o U2F faz muito pouco para impedir que um hacker sequestre seu tráfego e se faça passar por você, falsificando seu agente de usuário em seu navegador. Este fato por si só torna o argumento de “maior segurança” para U2F discutível.

The Takeaway

Embora o U2F não seja necessariamente mais seguro do que a autenticação de dois fatores, é importante notar que ele dá alguns passos em uma direção positiva (por exemplo, aumentando o comprimento da chave, eliminando barreiras de autenticação frustrantes para usuários finais, etc.). Como tecnologia, pode não ser “revolucionária”, mas certamente faz seu trabalho de uma maneira mais conveniente para as pessoas que investem nela. O U2F pode ser atraente para as empresas, mas os consumidores podem não achar que o preço de US $ 50 desses pequenos dispositivos vale o custo.

Vamos discutir algo interessante. O que o convenceria a comprar uma chave U2F? Ou você já está convencido? Conte-nos tudo sobre isso em um comentário!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Você pode gostar...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x