Kaksi Media

Como fazer autenticação de dois factores para proteger as contas online (e o site)

Como fazer autenticação de dois factores para proteger as contas online (e o site)

A autenticação de dois factores é obrigatória para protegeres as tuas contas online, incluindo o acesso ao teu site.

Deixa-me contar-te uma história.

Meados de Dezembro de 2018. O telefone apita com uma notificação.

O Google diz-me que alguém está a tentar entrar na minha conta Gmail a partir de uma localização na Índia.

Sou eu? “Sim” ou “Não“.

Não. Não sou eu. Carrego no “Não” e apresso-me a alterar a senha do meu email Gmail. Mais depressa que a sombra de Lucky Luke.

Pela primeira vez, em termos práticos, fiquei grato pela funcionalidade da autenticação de dois factores do Gmail.

Mesmo que tenhas senhas fortes e um gestor de passwords, tens de usar uma autenticação de dois passos para maior segurança. Ainda assim, como vamos ver, não há 100% de segurança. Em nada.

Cada coisa a seu tempo. Daqui a pouco vamos explicar como implementar esta medida no teu site WordPress.

Mas, para já, vamos saber o que é a autenticação multifactor.

Autenticação de dois passos é uma verificação dupla da identidade

É muito provável que já uses este sistema, mesmo sem saber.

Ao acederes ao homebanking (ou ao realizares operações bancárias online), o teu banco pede que confirmes a acção introduzindo um código que recebes no telefone ou que consta de uma matriz?

Então já usas uma dupla autenticação.

Este género de validação permite a identificação dos utilizadores através da combinação de dois elementos diferentes:

  • Uma coisa que sabes, como a combinação do nome de utilizador e a senha;
  • Uma coisa que tens, como um código numérico ou alfa-numérico, fornecido por uma aplicação, mensagem SMS ou um token; uma alternativa pode ser a tua impressão digital ou outro método biométrico.
 A autenticação a dois passos acrescenta uma importante camada de segurança.
A autenticação a dois passos acrescenta uma importante camada de segurança.

Alguém com os teus dados de acesso – nome de utilizador e a password -, não poderá aceder à tua conta ou site sem esse código, que é modificado em períodos de tempo muito curtos, de 20 ou 30 segundos, ou que te chega através da recepção de uma mensagem.

Desta forma, a autenticação a dois passos acrescenta uma importante camada de segurança.

É como uma fechadura que exige duas chaves diferentes para permitir a abertura de uma porta e uma delas só ‘aparece’ no momento em que é necessária.

Isto é válido para aceder a serviços online ou à área de administração do teu site.

Autenticação a dois passos reforça a segurança do teu site

Na Internet os ataques do estilo ‘força-bruta‘ estão entre os métodos mais populares usados por hackers.

Tentam avizinhar o nome de utilizador e a senha, fazendo inúmeras tentativas consecutivas e usando poderosas aplicações, capazes de ‘varrer’ um elevado número de sites em segundos.

Se forem bem sucedidos, ficas em maus lençóis.

Muitas pessoas usam palavras-passe fracas, fáceis de adivinhar ou utilizam as mesmas em diversos sites. Um inquérito realizado nos EUA e no Reino Unido revelou que 73 por cento das contas online têm senhas duplicadas.

Há ainda quem as escreva num papel e as deixe num local onde podem ser facilmente encontradas.

É por isso que a primeira de todas as medidas de segurança é não usar o célebre ‘admin’ como nome de utilizador. De preferência, e sempre que possível, deves usar um nome difícil de adivinhar.

A segunda é usar uma senha complexa, única, longa e imprevisível.

São muitas senhas para decorar? Bom, na verdade, é apenas uma se usares um gestor de senhas.

Daí que a terceira medida de segurança é beneficiar das vantagens da autenticação a dois passos.

Sejamos claros: Não significa que podes ficar tranquilo para o resto da tua vida. O site pode ser atacado por outras vias mas, pelo menos, ao aplicar os dois passos, reduzes de forma significativa as possibilidade de intrusão.

A autenticação de dois factores não garante toda a segurança mas é mais uma camada de protecção.
A autenticação de dois factores não garante toda a segurança mas é mais uma camada de protecção.

Como funciona a autenticação de dois factores

Já vimos que uma autenticação segura envolve uma combinação de dois elementos:

  • um conjunto de nome de utilizador e senha;
  • um código que recebes no momento em que pretendes aceder ao serviço online ou ao teu site.

A forma como recebes o código de autenticação depende do serviço em causa ou do sistema que implementares no teu site.

Pode ser por:

  • Email: O código chega através de um email e é de utilização única;
  • SMS: É enviado para o teu telemóvel enquanto mensagem e é também de utilização única;
  • Aplicação: Gera um código de forma automática, válido por pequenos períodos de tempo;
  • Dados biométricos, como impressão digital, reconhecimento facial, os olhos ou a mão;
  • Tokens USB: Precisas de inserir um token numa porta USB, sendo ainda necessário uma senha para o token.

Há sistemas mais agraváveis que outros mas, nestes casos, não se trata de uma questão de beleza visual, apenas a melhor experiência de utilização relacionada com o reforço de segurança.

Autenticação através de SMS

Funciona através da utilização de um código que é gerado para uma única utilização.

Mesmo se considerarmos que um atacante pode interceptar dados no processo de troca de informação entre o nosso dispositivo e a aplicação ou site de destino, ele não poderá roubar, de forma efectiva, o acesso a esse sistema.

No entanto, alguns especialistas em segurança referem que este não é um método totalmente seguro.

Em particular no caso de um telefone perdido ou roubado.

A autenticação através de dados biométricos ainda precisa de evoluir mais
A autenticação através de dados biométricos ainda precisa de evoluir mais

Autenticação através de dados biométricos

Este método também apresenta alguns desafios nas tecnologias dos dias de hoje. Porque as condições ambientais podem causar alterações no dedo, na face ou olhos e retirar alguma fiabilidade ao sistema.

Como fazer autenticação de dois factores no WordPress

Para sites WordPress há diversas soluções de autenticação a dois passos. Quase todas são simples de implementar.

Selecionamos aquelas que consideramos mais práticas e relevantes.

Google Authenticator

O plugin Google Authenticator é um dos mais populares. Oferece a possibilidade de fazer a autenticação a dois passos através da aplicação Google Authenticator, da Google.

A app desenvolvida pela Google está disponível para iOS e Android.

Mas o plugin não foi criado pela Google.

O processo é simples.

  • Instala e activa o plugin;
  • Define uma chave secreta ou usa o código QR;
  • Descarrega e instalar a aplicação Google Authenticator (gratuita) para o teu telefone ou tablet;
  • Introduz a chave secreta ou usa o código QR;

A partir de agora, sempre que pretenderes aceder ao painel do site terás de abrir a aplicação no telefone e inserir o código de autenticação, que sofre uma alteração a cada 30 segundos.

A aplicação funciona mesmo que o teu telefone esteja sem rede.

O plugin é gratuito.

Google Authenticator
Google Authenticator

Google Authenticator – Two Factor Authentication (2FA)

O Google Authenticator – Two Factor Authentication (2FA) é um plugin da miniOrange e tem um significativo lote de fãs.

O processo começa pelo habitual:

  • Instala e ativa o plugin
  • Vais receber um email, na conta de administrador do site, pedindo para confirmar o endereço;
  • Depois de confirmado, seleciona o separador Setup Two-Factor;
  • Podes escolher diversas formas de efetuar a autenticação: Google Authenticator, email, token, SMS, código QR, e a aplicação Authy, entre outros.
  • Escolhe o que considerares preferível. Recomendamos o Google Authenticator.

Este plugin permite que definas papéis dentro do site que implicam a autenticação a dois passos. Por exemplo, se tiveres um autor no teu site a quem pretendas facilitar o acesso, podes optar por esse caminho.

Os administradores devem ser sempre obrigado a uma dupla autenticação.

Tem versões gratuita e premium.

Google Authenticator – Two Factor Authentication (2FA)
Google Authenticator – Two Factor Authentication (2FA)

Duo Two-Factor Authentication

Duo Two-Factor Authentication é um plugin simples mas obriga à criação de uma conta no site da Duo Security, para obter as chaves de segurança e a API hostname.

  • Instala e ativa o plugin;
  • Vai a Settings para fazer a configuração;
  • Insere a chaves necessárias e a API hostname;
  • Também podes selecionar os papéis dos utilizadores que precisam de autenticação;
  • Podes escolher a autenticação por Notificação Push; chamada telefónica ou introdução de um código.

Duo é grátis até 10 utilizadores. Se precisares de mais, há três escalões de preços e respetivas funcionalidades, entre os 3, 6 e 9 dólares por mês e utilizador.

Duo Two-Factor Authentication
Duo Two-Factor Authentication

Rublon Two-Factor Authentication

Rublon Two-Factor Authentication é, à partida, o mais fácil de todos e o mais desejável para quem detesta senhas e palavras-passe.

  • Instala e ativa o plugin;
  • Quando fizeres o próximo login no site vais receber um email que a Rublon te envia;
  • Carrega no link e acede ao teu site;
  • Na próxima vez que acederes a partir do mesmo dispositivo terá apenas de usar a senha;
  • A Rublon tem ainda (e recomenda) uma app para Android e iOS.

É grátis para uso pessoal e para um site. Para mais contas tens de aderir a um plano premium. Os preços são de 2 dólares por mês e utilizador.

Rublon Two-Factor Authentication
Rublon Two-Factor Authentication

Two Factor Authentication

Two Factor Authentication é um plugin da mesma equipa do UpdraftPlus.

Utiliza o Google Authenticator, o Authy e outros sistemas.

Permite gerir o tipo de utilizador que tem de passar pela autenticação a dois passos, além de ser compatível com instalações multisite e WooCommerce.

Tem versão grátis e premium, sendo que a gratuita não limita a autenticação a apenas um utilizador.

É de fácil instalação e configuração.

Two Factor Authentication
Two Factor Authentication

Keyy Two Factor Authentication

O Keyy é uma continuidade do outrora popular serviço Clef.

Tem como característica principal a ausência de utilização de senhas.

Depois de instalado e activado no site, tens de fazer um scan à onda visual criada pelo Keyy ou ao código QR usando a aplicação no teu telefone.

Se perder o equipamento, o utilizador com o papel de administrador tem ainda acesso a um URL secreto que permite desactivar o Keyy.

Existem aplicações para Android e iOS.

Keyy Two Factor Authentication
Keyy Two Factor Authentication

iThemes Security

iThemes Security é um dos melhores e mais completos plugins de segurança no WordPress. É ainda um dos mais usados. Mas a funcionalidade de dupla verificação só está disponível na versão premium.

Este é o serviço de dupla autenticação que usamos na Kaksi Media.

iThemes Security
iThemes Security

UNLOQ Two Factor Authentication

UNLOQ Two Factor Authentication é um dos sistemas mais fáceis de usar.

Tens de descarregar a aplicação (para iOS e Android) e criar um perfil, que precisas de verificar usando o email.

Depois de instalares e configurares o plugin para WordPress, podes selecionar o teu método desejado.

No mais simples, basta carregares no botão de UNLOQ sempre que quiseres aceder ao site e recebes um pedido de confirmação na aplicação.

Caso não tenhas ligação à Internet, a aplicação fornece uma alternativa: uma senha que podes usar uma vez.

Tem versão gratuita e premium.

UNLOQ Two Factor Authentication
UNLOQ Two Factor Authentication

Tenho uma loja online. O que devo fazer?

Há plugins de autenticação de dois factores transversais a todo o site. Esta é uma situação desagradável nalguns casos, como lojas de comércio electrónico e sites com membros.

Ninguém deseja complicar a vida aos clientes e obriga-los a uma dupla autenticação para poder fazer compras do site.

Seria o mesmo que os convidar a ir fazer compras online a outro lado.

No entanto, se tens uma loja online não precisas de te preocupar.

Dos plugins aqui referidos, há três que permitem definir a autenticação por dois factores por papéis no teu site.

Desta forma podes excluir todos os clientes da necessidade de cumprir este passo extra de segurança.

São eles:

  • Google Authenticator – Two Factor Authentication (2FA)
  • Duo Two-Factor Authentication
  • Two Factor Authentication
  • iThemes Security

Conclusão

Por todas as razões já apresentadas, a autenticação de dois factores é uma excelente forma de reforçar a segurança online e, em concreto, a segurança do teu site WordPress.

Com a diversidade de soluções e o seu preço, entre o gratuito e o muito acessível, não há uma única razão para não implementares uma medida de segurança que te deixa um pouco mais descansado.

Agora é a tua vez: já usas a autenticação com dois passos?

José Freitas

José Freitas

Ajudo pequenas e médias empresas e empreendedores a criar estratégias online para conseguirem melhores clientes, através da comunicação relacional. Na minha vida passada fui jornalista durante 25 anos. A comunicação é a minha praia. Viciado em café intenso e aromático.

Queres receber as nossas mensagens semanais o teu email?

As nossas mensagens são compostas por pequenos textos escritos a pensar em ti (sim a sério, a pensar em ti).

Não enviamos SPAM porque também não gostamos de o receber.