Onde a autenticação de dois fatores fica aquém

Web designers são constantemente bombardeados com conselhos de segurança. Estamos informados sobre as melhores práticas, falhas de segurança e seus patches necessários. É o suficiente para fazer sua cabeça girar.

Claro, tudo isso é importante e bem-intencionado. A segurança online é um alvo em constante movimento, onde até os maiores players são suscetíveis. Portanto, cabe a nós acompanhar os últimos desenvolvimentos.

A autenticação de dois fatores (2FA) está entre as tecnologias mais elogiadas para manter as contas online seguras. Você vê isso sendo implementado em todos os lugares, desde bancos a mídias sociais. E também pode ser facilmente instalado em seu próprio site.

Embora a 2FA possa ser eficaz para impedir o acesso não autorizado às nossas contas, ela também apresenta algumas desvantagens potencialmente importantes. Recentemente, experimentei isso em primeira mão. A seguir, veja o que aconteceu e a bagunça que ajudou a criar.

Diferentes implementações entre provedores - com um thread comum

Como quase todas as outras tecnologias, a autenticação de dois fatores pode ser implementada de várias maneiras. Os usuários podem se autenticar por meio de uma mensagem SMS, e-mail ou código de verificação de um aplicativo como o Google Authenticator. Eles também podem selecionar uma foto confiável que é exibida em cada login, garantindo que não estejam em um site de phishing.

Às vezes, um provedor de serviços lhe dará uma escolha. Mas muitas vezes você fica preso a qualquer método que eles oferecem. Quanto mais contas você protege via 2FA, mais complicado tudo isso se torna.

Por exemplo, muitos lugares utilizam mensagens SMS para o seu telefone. Mas, novamente, alguns também exigirão esse aplicativo de autenticação. Outros ainda terão uma visão diferente. O desafio é tentar acompanhar quem usa qual tecnologia e garantir que você tenha as ferramentas certas à mão.

Mas parece que a maioria dos métodos tem um único ponto em comum: eles dependem do seu dispositivo móvel para funcionar. Isso com certeza é conveniente. Ainda assim, e se algo acontecer com esse dispositivo?

Um telefone com defeito leva ao caos

Esta é a situação em que me encontrei, pois a conexão de dados móveis no meu telefone Android deu errado. As mensagens de texto estavam atrasadas em horas ou não eram entregues. Um membro da família que mora na mesma casa e na mesma rede recebeu suas mensagens muito bem. Isso me levou a acreditar que isso era algum tipo de falha de hardware.

Como se faz nesta situação, tentei vários remédios. Isso incluiu a temida “opção nuclear” de redefinir meu telefone de fábrica. Vale a pena tentar, certo?

O problema aqui era duplo. Primeiro, ele não resolveu o problema de mensagens de texto. Pior ainda é que me desconectou de todas as minhas várias contas. Google, Facebook, Twitter, etc. foram todos nuked. Talvez seja melhor para minha saúde mental, mas provavelmente não tão bom para o trabalho/jogo.

Tentar fazer login novamente em cada uma dessas contas não foi tão fácil. Por quê? Por causa do 2FA, é claro.

O Google foi especialmente difícil, pois as únicas duas opções que ele me dava estavam vinculadas ao meu telefone. Ele queria me enviar um texto – mas isso não ia funcionar. E eles também permitiram um código do Google Authenticator. Isso teria sido ótimo, mas exigia que eu estivesse logado na minha conta do Google para, você sabe, ter acesso ao código.

A solução foi finalmente inicializar meu computador desktop e desativar temporariamente o 2FA para o Google (eles realmente não gostaram disso). Doce alívio, recuperei meu Gmail.

Para ficar ainda mais divertido, tive que repetir um processo semelhante com várias outras contas. Ironicamente, não consigo acessar meu banco on-line pelo meu desktop, pois ele depende da verificação por SMS. Eu posso, no entanto, acessá-lo no meu telefone porque não há esse requisito. Só de pensar nisso me faz suar frio.

Claro, minha situação não é única. Qualquer pessoa sem acesso ao seu dispositivo móvel pode facilmente estar no mesmo barco.

Lições aprendidas

As frustrações associadas ao 2FA podem ser úteis como um momento de aprendizado. Aqueles de nós que constroem sites para ganhar a vida dão um tapinha nas costas para aumentar a segurança – e com razão. Mas implementar essa tecnologia por si só não é o fim de nossa missão.

Em vez disso, é preciso pensar seriamente. Aqui estão algumas coisas que você deve ter em mente antes de adicionar a autenticação de dois fatores ao seu site:

2FA não precisa necessariamente ser um requisito

É tentador forçar os usuários a utilizar a autenticação de dois fatores. E em certas circunstâncias de alto risco isso faz sentido.

Mas para a maioria dos sites, você pode considerar usar requisitos de senha rigorosos. Por exemplo, se você estiver executando um site de associação que não contém nada secreto, o 2FA pode ser opcional. Mas talvez você peça aos usuários que alterem as senhas a cada seis meses.

É um pouco menos incômodo para os usuários e, com sorte, menos trabalho de suporte para você. E não se esqueça da acessibilidade. Apesar das suposições, nem todos têm acesso a vários dispositivos.

Fornecer alternativas

Embora possa ser difícil do ponto de vista da manutenção, oferecer mais de um único método de 2FA pode ser benéfico. Os usuários podem escolher o sabor que funciona melhor para eles. Ou, em um piscar de olhos, eles podem até mudar o que estão usando caso o dispositivo móvel fique indisponível.

Fora isso, pelo menos ofereça uma maneira fácil para as pessoas entrarem em contato com você se tiverem problemas. É incrivelmente frustrante quando você não consegue acessar sua conta e não há ninguém para ajudar.

Espere alguns desafios

É possível fazer tudo certo e ainda encontrar usuários com problemas de login. Por exemplo, algumas implementações de 2FA oferecem códigos de backup de uso único. Eles são ótimos para momentos em que o método de autenticação escolhido não está funcionando.

No entanto, nem todo mundo vai ter tempo para salvar ou imprimir esses códigos (com certeza não). Portanto, é importante se preparar para os problemas inevitáveis ​​que ocorrerão.

A autenticação de dois fatores é útil, mas longe de ser perfeita

Ao todo, há muitas razões para gostar de 2FA. Pode ser bastante simples de implementar e ajuda a evitar o acesso não autorizado aos dados do usuário. E há uma série de métodos diferentes disponíveis.

Não é sem suas deficiências, no entanto. Como descobri, um telefone instável pode causar muitos problemas. A incapacidade de fazer login em suas contas mais importantes paralisa sua vida. Imagine não poder acessar sua conta bancária ou até mesmo sua operadora de celular.

Portanto, adicione autenticação de dois fatores aos seus sites e aplicativos. Mas planeje com antecedência e tente tornar o processo indolor para os usuários. Você pode esperar um ambiente mais seguro – só não espere milagres.