Uma das chaves de segurança mais populares do mercado.| Foto: Yubikey/Divulgação

Desde o início de 2017, o Google não registrou um caso sequer de roubo ou invasões de contas entre os seus mais de 85 mil funcionários. O histórico impecável se deve à implementação obrigatória de um acessório barato: a chave de segurança física.

CARREGANDO :)

A chave de segurança física é um pequeno dispositivo USB que lembra um pen drive, mas que em vez de guardar arquivos, complementa a senha usada para acessar contas em ambientes digitais. Ela é um tipo de autenticação em dois passos, só que em vez de confiar em códigos temporários enviados por mensagens SMS ou aplicativos de celular, requer que a chave seja conectada fisicamente ao dispositivo do usuário para que o acesso seja liberado.

LEIA TAMBÉM: BNDES terá pacotaço milionário para startups

Publicidade

A lógica por trás da autenticação em dois passos é acrescentar algo que você tem — um código temporário enviado ao seu celular, uma chave de segurança física — a algo que você sabe — uma senha — para liberar o acesso. Se a senha é comprometida, alguém mal intencionado não conseguiria acessar a conta porque ele careceria do “algo que você tem”. É uma camada extra valiosa para segurança digital.

Um porta-voz do Google disse ao blog Krebs on Security , do especialista em segurança digital Brian Krebs, que “não tivemos nenhum relato ou confirmação de invasão de contas desde que implementamos as chaves de segurança no Google”. Ainda de acordo com ele, o uso da chave de segurança é exigido em diferentes aplicativos e por vários motivos, de acordo com a sensibilidade dos dados e o risco a que o usuário está submetido em dado momento.

Os tipos de autenticação em dois passos

O tipo mais comum de autenticação em dois passos é a mensagem SMS: quando ativada, ao tentar acessar a conta protegida em um dispositivo novo, o sistema dispara uma mensagem com um código temporário para o número de celular cadastrado e exige esse código para liberar o acesso.

Outra alternativa são os aplicativos como Authy e Google Authenticator (esse último era usado pelos funcionários do Google antes da chave física). A lógica é a mesma, mas sem a operadora como intermediária no envio do SMS. Por esse motivo, o método do aplicativo é considerado mais seguro que o das mensagens SMS, que é notadamente inseguro — o SMS foi pivô de vários casos de clonagem do WhatsApp.

LEIA TAMBÉM: Como evitar que o seu WhatsApp seja clonado

Publicidade

A chave de segurança física dispensa códigos temporários. Em vez disso, o usuário precisa inseri-la no dispositivo desejado para fazer login e apertar um botão. É necessário, porém, que o serviço ofereça suporte a um padrão chamado Universal 2nd Factor, ou U2F. E isso ainda é raro: fora o Google, apenas empresa de grande porte, como Dropbox, Facebook e Github, oferecerem-no. Entre os navegadores, há suporte no Chrome, Firefox e Opera. Os gerenciadores de senhas Dashlane, Keepass e LastPass também já podem ser usados com essas chaves.

O modelo mais popular de chave de segurança é fabricado pela Yubico e custa, nos Estados Unidos, cerca de US$ 20 (equivalente a R$ 75). Há versões com USB-A (o tipo mais comum) e USB-C (novo padrão, encontrado no MacBook Pro e em outros notebooks modernos), além de uma mais cara, com suporte a NFC, projetada para uso com smartphones e tablets. A Yubico não tem presença no Brasil; em importadores, a chave é vendida por até R$ 330.