Assessoria de Segurança

Segurança digital: usando chaves de segurança para proteger contas contra phishing

Também disponível em English, Español

Os hackers estão usando métodos mais sofisticados para atingir jornalistas, incluindo aqueles que usam autenticação em duas etapas (2FA).

A verificação em duas etapas é uma camada extra de segurança usada para proteger as contas. Geralmente vem na forma de um PIN enviado por SMS, um aplicativo autenticador em seu telefone ou por meio de notificações push. Embora o uso do 2FA seja uma boa maneira de aumentar a segurança de suas contas, os hackers estão encontrando formas de contornar esse problema.

A maneira mais segura de proteger as contas é usando uma chave de segurança.

O que é uma chave de segurança?

Uma chave de segurança é um dispositivo de hardware que você pode conectar ao seu computador via USB ou conectar-se sem fio via telefone. As chaves podem ser compradas on-line, por exemplo, no site da YubiKey.

Configurando sua chave de segurança:

• Verifique se o serviço que você está usando, como o Gmail, suporta chaves de segurança 2FA. Atualmente, nem todos os serviços suportam chaves de segurança. Verifique a seção "sua conta" ou "configurações" para ver se o serviço permitirá vincular uma chave a ele.

• Se o serviço permitir que você use uma chave de segurança, siga as etapas definidas pelo serviço para registrar a chave em seu dispositivo.

• Se você já tiver o 2FA configurado em suas contas, por exemplo, na forma de SMS, desative-o depois de adicionar a chave de hardware. Você também deve desabilitar outros formulários menos seguros de 2FA, como códigos de autenticador e notificações push, pois eles ainda podem ser explorados por ataques sofisticados de phishing.

• Uma vez que a chave é registrada em um serviço, como o Gmail, em seus dispositivos, você geralmente terá a opção de lembrar a tecla no dispositivo para não precisar inseri-la novamente. No entanto, leve a chave consigo em todos os momentos, caso o site faça o seu logout e exija que você verifique sua conta.

• A mesma chave pode ser usada para todas as contas.

• Mantenha sua chave segura como faria com as chaves da sua casa ou do seu carro, e saiba onde ela está em todos os momentos. Lembre-se de levar com você quando viajar.

• Não use códigos de backup com sua chave de segurança. O 2FA também permite que você use códigos de backup em certos casos, por exemplo, quando você está viajando e pode não ter acesso a internet ou sinal de celular. No entanto, os códigos de backup podem ser violados por hackers, criando um site falso que imita os do seu provedor de serviços; portanto, eles não devem ser usados ​​com uma chave.

Fazendo backup de sua chave de segurança:

Se você não estiver usando nenhum tipo de backup 2FA, você pode estar preocupado com o que acontece se você perder a chave de hardware.

• Adicione uma segunda chave à sua conta. Siga os mesmos passos que você usou para adicionar a primeira chave. Isso pode não ser possível para todos os serviços.

• Mantenha sua segunda chave em um lugar seguro.

• Se você já perdeu uma das chaves, você pode removê-la da sua conta nas configurações de segurança. Lembre-se de obter outro backup para ter sempre duas ou três chaves.

• Se alguém encontrar sua chave, ela não poderá dizer a qual conta pertence apenas olhando para a chave, da mesma forma quando alguém encontra a chave de uma casa não sabe a qual casa pertence.

• Embora usar uma chave de segurança de hardware para 2FA com uma chave de backup, em vez de códigos de backup, seja a opção de segurança mais forte disponível no momento, se o site específico não permitir a adição de uma chave, é melhor usar o SMS, autenticador ou push de notificação 2FA em vez de não usar nenhum 2FA. Permaneça vigilante contra os ataques de phishing que podem estar segmentados para códigos 2FA.

Publicado

Gostou deste artigo? Apóie nosso trabalho