Hoje as pessoas acordaram sobressaltadas ou irritadas assim que entraram no Twitter e receberam o aviso de que terão que pagar pelo Twitter Blue para continuar usando a autenticação em duas etapas por SMS.
Achei desonesto por parte do Twitter. 2FA (do termo em inglês) por SMS é uma forma de autenticação contraindicada. Seria aceitável se a plataforma estivesse abandonando essa forma de autenticação e instruindo todos os usuários a ativar uma melhor.
Mas vou aproveitar o acontecido para fazer um post geral sobre autenticação em duas etapas já que não achei muitos em português
O que é e por que usar?
A autenticação em duas etapas ou two factor autentication (2FA) é uma segunda senha que usamos para logar em um serviço.
Muita gente usa a mesma senha em vários lugares, o que é enormemente não recomendável (falei nisso em Senhas e ansiedade) e, mesmo que usemos uma senha em cada lugar existe o risco do nosso dispositivo estar contaminado com algum software espião como o Pegasus.
É recomendável até mesmo usar um email em cada lugar. Tem serviços que facilitam isso como mostrei no post Como e porque mascarar seu endereço de email.
Então a autenticação em dois fatores gera um código adicional que funciona apenas por um tempo limitado a cada vez que vamos logar em um serviço. Se você confia no aparelho que está usando pode deixar autenticado por vários dias ou até por tempo indeterminado sem precisar de um novo código em duas etapas.
Por que não por SMS?
Essa sessão será curta: porque não é muito difícil clonar um chip de celular e receber o SMS em outro aparelho. Fim da sessão ;-P
Por que o Twitter vai oferecer autenticação por SMS como vantagem para quem paga?
Outra sessão curta: Não consigo pensar em nenhuma razão honesta. A primeira explicação que nos ocorre é que vão contar com o comodismo natural de quem tem mais o que fazer da vida para arrancar mais uns tostões dos usuários.
Nem tão curta: Ricky Mondello (they/them) pensou em uma razão: o custo do envio de SMS e o fato de uns 75% de quem usa dupla verificação optar pelo SMS. Tá no blog delu: Twitter’s Decision to Limit SMS 2FA is Dangerous.
Se não é para usar SMS é para fazer o quê?
Já está se popularizando o acesso sem senhas como comentei em O fim das senhas, que será uma ótima forma de autenticação, mas ainda não está amplamente disponível.
A melhor forma de dupla autenticação atualmente é a geração de um código por tempo.
Funciona assim: você insere sua senha e o serviço te pede um segundo código. Você abre o seu gerador de código, copia o número de lá e cola. Esse número é atualizado a cada 30 segundos.
Existem vários geradores de código indo do Authy (que recomendo) ao Google Autenticator (que não recomendo porque tem poucos recursos e não quero mais informar ao Google onde tenho contas) passando por geradores de senhas como o 1Password que já incluem esse recurso (é o que uso).
Conclusão
Pode xingar muito no Twitter que faz bem colocar para fora, enquanto isso vai trocando lá (acho que só é possível entrando pela Web) para app gerador de código e aproveite e vai trocando aos poucos em outros serviços também.
Referências
Aqui vão alguns artigos sobre isso e recomendações da aplicativos de geração de código.
- 5 aplicativos geradores de código de autenticação – Techtudo
- O que é e como usar autenticação de dois fatores – Tecnoblog
- O que é autenticação multifator – Microsoft
- Twitter Limits SMS-Based 2FA to Twitter Blue Members – PC Magazine
Deixe um comentário