Segundo o Google autenticação de dois fatores bloqueiam 100% dos hacks automatizados
26 de maio de 2019Se você não está familiarizado com a autenticação de dois fatores (2FA) ou com a verificação em duas etapas, tudo se resume a usar uma camada extra de segurança para provar que a pessoa que faz login em uma conta ou dispositivo é realmente você.
Mesmo que alguém roube ou adivinhe sua senha, ela não poderá acessar suas informações sem outro autenticador.
Às vezes isso significa digitar um código recebido em seu smartphone ou tocar em uma tela de um dispositivo separado.
Se você precisar de mais segurança, poderá até mesmo obter um dispositivo físico que se conecte ao seu computador para verificar sua identidade.
O Google suporta esses formulários de 2FA e outros; se você tiver ativado em seu dispositivo Android, provavelmente encontrará o aviso “Tentando fazer login”.
A empresa se uniu a pesquisadores da Universidade de Nova York e da Universidade da Califórnia, em San Diego, em um estudo de um ano para pesquisar a eficácia do 2FA.
Basta verificar este gráfico:
Os desafios baseados em dispositivos e conhecimento ajudam a impedir o uso de bots automatizados, enquanto os desafios baseados em dispositivos ajudam a impedir o phishing e até mesmo ataques direcionados.
Receber um código SMS secundário bloqueou 100% dos ataques automatizados, 96% dos ataques de phishing em massa e 76% dos ataques direcionados, como os feitos por hackers contratados.
O uso de avisos no dispositivo leva esses números a 100, 99 e 90 por cento, respectivamente.
A melhoria é provavelmente devido ao fato de que é mais difícil fazer com que alguém toque em um botão no dispositivo do que tentar enganá-lo para que ele forneça um código de acesso.
É claro que usar uma chave de segurança física é mais seguro, bloqueando 100% de cada tipo de ataque durante a investigação do Google.
Outras formas de 2FA, como fornecer um endereço de e-mail secundário, número de telefone ou seu último local de login, eram muito menos seguras; capaz de afastar os bots, mas não ataques de phishing ou direcionados.
Para a maioria das pessoas, basta adicionar um número de telefone de recuperação à sua conta do Google para facilitar a segurança da sua conta quando o Google detecta atividades suspeitas.
New research: How effective is basic account hygiene at preventing hijacking
A solução Signed HTTP Exchange do Google exibe URLs do editor para páginas AMP via TLS
