Ir para o conteúdo
Rui Carlos

Two-step verification: experiências, sugestões?

Mensagens Recomendadas

Rui Carlos

Desde a minha primeira tentativa de usar um sistema de two-step verification (com o Google, há "muitos" anos atrás) não fiquei muito impressionado com o sistema. Por um lado por causa do impacto em termos de usabilidade, que me pareceu bastante negativo. Por outro, porque me pareceu que o sistema podia ser seguro de mais, e aumentava a probabilidade de perder o acesso à conta.

Recentemente lembrei-me de estudar novamente o assunto, depois de receber mais um email de um serviço a recomendar a activação desta funcionalidade. E estes sistemas continuam a não me agradar muito...

Temos serviços que obrigam à utilização da aplicação XPTO, e não me agrada ter que andar a instalar mais uma série de aplicações para os vários serviços. Por isso, quando possível, prefiro SMS. Contudo, com as funcionalidades de receber os SMS também nos PCs ligados ao smartphone, este método também fica com uma segurança mais limitada.

Mas aquilo que mais me preocupa é mesmo o facto de habitualmente precisar de recovery codes para não correr o risco de perder o acesso às contas. Aqui a questão é como armazenar estes recovery codes? Guardá-los no PC não me parece totalmente seguro, mesmo que cifrados, visto que há sempre a possibilidade da segurança do PC ser comprometida. Imprimir este tipo de informação também não me parece lá muito boa política. A ideia que me dá é que este código vai acabar por funcionar como uma password, que se for comprometida também compromete a conta. É claro que terá a vantagem de não ser usado regularmente, o que ajuda a que o código não seja comprometido.

Assim, gostava de saber quais as vossas opiniões, experiências e recomendações sobre este assunto.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
bioshock

Mas que ambientes é que estamos a falar que precisam de tanta segurança?

Para mim a melhor forma para garantir segurança continua a ser educar as pessoas.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Rui Carlos

Os casos mais críticos são obviamente os bancos. Mas o meu email principal também é um caso potencialmente problemático. Se o acesso ao mesmo fosse comprometido, há mais uma carrada de serviços que podiam ser comprometidos de seguida. Apesar de ter cuidado com o que coloco online, e de nos casos de documentos potencialmente sensíveis os cifrar antes de os colocar online, é sempre uma questão chata em termos de privacidade. Da minha parte, acho que o pior seria provavelmente o conteúdo de emails (mesmo com os cuidados que tenho, é chato), mas tal afectaria também outras pessoas que partilham ficheiros comigo sem grande cuidado com o conteúdo dos mesmos, por exemplo.

Tenho também alguns serviços web que uso, para os quais já recebi emails a avisar que tinham tido problemas de segurança, para trocar a password, e activar a dupla autenticação. Apesar de não usar estes serviços a nível "profissional", em alguns casos se houver problemas haverá também terceiros que podem ser afectados.

Apesar de tudo, como referi, ainda não sou grande adepto da dupla autenticação. Em vez disso, tenho confiado numa política para passwords bastante "rigorosa". Mas não estou certo que tal seja suficientemente seguro. E neste momento estou a colocar a hipótese de activar o serviço nos casos mais críticos.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
bioshock

Eu utilizo a Caixa Geral directa à vários anos, possuem a autenticação via utilizador e senha para entrar na conta. A única medida que implementaram, tal como a autenticação dos Jogos Santa Casa, foi o teclado virtual, para despistar, acredito eu, os keyloggers.

Depois de estares identificado no sistema, para efectuar qualquer qualquer tipo de transferência ou pagamentos é pedido três números aleatórios de um cartão que eles previamente fornecem com uma matriz de 8x 8y, onde cada espaço é ocupado por três números.

Cartao-Matriz.gif

A única medida de segurança que adopto relativamente às senhas é de que a senha do email é sempre diferente de todas as minhas outras contas nos mais diversos sites.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Rui Carlos

Repara que o cartão matriz já é um segundo factor de autenticação. A CGD tem ainda outro, que é o SMS token. Embora ache que ambos têm limitações (sobretudo o cartão matriz por não ser substituído com mais regularidade), dão sempre segurança adicional.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
thoga31

O facto de ter de associar o meu número de telemóvel é algo que, logo à partida, me deixa de pé atrás quanto a este sistema.

Não gosto da ideia de associar aquele que talvez possa ser considerado o objecto tecnológico mais pessoal. Ter de associar uma conta online a um OS móvel para se poder trabalhar nele já me faz azia que chegue, pessoalmente não preciso de mais.


Knowledge is free! | Occasional Fortnite player

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

Eu uso autenticação two-factor, quer no Google, quer noutros serviços, onde ate uso para além de outras medidas, a sms de autenticação.

Como não vou muito "à bola" com todas as politicas das aplicações de smartphone, uso um "stupid-fone", com o cartão de telemóvel associado à autenticação por sms. Assim evito ter de associar aplicações, e de correr riscos adicionais das senhas enviadas por sms serem comprometidas.

Adicionalmente uso os "códigos chave", mas não os tenho impressos, nem tão pouco no computador. Fiz um exercicio de memória adicional, para decorar uma parte deles, sendo que todos era realmente um esforço muito maior. Quanto a senhas não uso a mesma senha em dois locais diferentes. Tão simples quanto isso! Cada "macaco" no seu galho, cada site, sua senha, evito "combinações de senhas". Cansa, é chato, mas "antes prevenir que chorar" e tendo em conta que basta recorer a mecanismos de memorização, não me esqueci de nenhuma senha nos ultimos anos. Troco-as periodicamente, mas não me esqueço delas.

A autenticação por sms, agrada-me num ponto, desagrada-me noutro, mesmo sendo num "stupid-fone". Agrada-me por ser um facto de segurança, desagrada-me porque não gosto de ter um número de telemóvel associado a um serviço on-line. Daí usar um cartão de telemóvel "quase só" para este efeito. É mais um cartão e um equipamento... Mas só o ligo mesmo quando preciso da sms de autenticação, logo o incomodo é "gerivel".

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Rui Carlos

O facto de ter de associar o meu número de telemóvel é algo que, logo à partida, me deixa de pé atrás quanto a este sistema.

Não gosto da ideia de associar aquele que talvez possa ser considerado o objecto tecnológico mais pessoal. Ter de associar uma conta online a um OS móvel para se poder trabalhar nele já me faz azia que chegue, pessoalmente não preciso de mais.

Nem todas as soluções necessitam de número de telemóvel. Há aplicações que suportam protocolos de OTPs, e que basta instalar e fazer scan de um barcode.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

Que tal testar U2F ?

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Rui Carlos

Na altura que andei a ver as soluções existentes, lembro-me de ter lido sobre o U2F, YubiKeys e afins.  Já não me lembro por que razão é que não fiquei fã daquilo.  Tenho ideia que uma das coisas que não me agradou foi a falta de possibilidade de proteger o dispositivo com um PIN.  Isto é algo que eu consigo fazer com as chaves que tenho no smartphone (embora no smartphone seja mais fácil copiar as chaves).

Em particular no caso da YubiKey, havia também algumas coisas sobre a forma de controlo/funcionamento do dispositivo que não me ficaram claras, sobretudo no que diz respeito às funcionalidades extra para além do U2F.

Depois de voltar a "investigar" o assunto, continuo a não gostar da falta de PIN, mas algo como uma YubiKey começa-me a parecer cada vez mais interessante (apesar de estar bastante cara na Europa).

Já agora, tens alguma experiência de uso deste tipo de hardware, e sobre qual a sua fiabilidade?  (Relativamente a esta questão da fiabilidade, tive recentemente uma má experiência com a aplicação que uso para gerir chaves do tipo Google Authenticator, que ficou com uma chave corrompida.  Como é que uma aplicação corrompe dados que é suposto serem read-only é uma coisa que me escapa.)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

Eu usei o Password manager da kaspersky, e simplesmente detestei! Soluções por software, não me convenceram de todo. Entretanto tenho andado envolvido com a comunidade que está a desenvolver o Mooltipass, neste momento a testar o MooltiPass Mini, que entre outras coisas já permite ser utilizado como dispositivo dedicado de U2F. Existe um "fork" do firmware, para o utilizar com dupla-funcionalidade (cofre de passwords e dispositivo U2F), mas não faz parte do que será a release oficial do dispositivo. O utilizador deverá escolher ou uma ou outra. De qualquer das formas, colmata a "maior" falha das YubiKey, que é a falta de um pin. Pior ainda se for a versão com NFC, que é mais insegura, mas isso são "outros quinhentos".

Já testei uma outra chave U2F, além das da Yubikey e fiquei dentro dos possíveis satisfeito. Apesar do preço, foi tolerante a todos os abusos a que a submeti, infelizmente tinha o velho problema da falta de um pin, fora isso é fiável e segura.

Sei que existem desenvolvimentos de outros dispositivos U2F, com uso de device + pin e device + smartcard, e os preços, tanto quanto estou a par, não são assim tão "proibitivos", algo na casa dos 30usd.

O Google Authenticator ficou com uma chave corrompida ? A chave não deveria ser read-only ? Como se corrompe uma chave que é apenas de leitura ? Coisa estranha!!

Um à parte: Em teoria é possivel fazer devices U2F de baixo custo, baseados em controladores ATtiny, e garantidamente é possivel, baseados em ATmega. Talvez fosse um projecto comunitário engraçado, fazer um baseado num circuito "inexpensive".

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Rui Carlos

Os devices da MooltiPass parecem bastante funcionais e seguros.  Agora só precisava de melhorar um pouco o formato físico.

Estive agora a pesquisar melhor, e encontrei um dispositivo U2F compacto por menos de 10€, o que já é um preço aceitável.  Mas a verdade é que ter um dispositivo só para U2F não me "entusiasma" muito.  Deixa ver como é que as alternativas mais funcionais evoluem nos próximos tempos.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

O MooltiPass Mini, ainda não está disponível ao publico, eu estou na equipe de beta-testers, tenho feito experiências e estou em crer que realmente será uma boa ferramenta, tanto para funcionar como "password-safe" como para "U2F", já que haverá a opção de ter as duas funcionalidades no mesmo device, caso o owner do device assim o decida, bastará carregar o firmware para o efeito.

Já tinha visto chaves U2F por 10€, mas não me pareceram muito seguras. Posso estar enganado. Vamos ver a evolução. De qualquer das formas tenho usado U2F com uma Yubikey e apesar de ser mais uma "treta" amarrada às chaves, tem dado jeito e não me posso queixar demasiado.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.