• Início
  • Blog
  • Evite ser hackeado: Como usar a autenticação de 2 fatores em suas contas de redes sociais

Evite ser hackeado: Como usar a autenticação de 2 fatores em suas contas de redes sociais

Publicado em 18 de mar. de 2023, e leva aproximadamente 9 minutos para ler.

Tenho quase certeza que você já ouviu falar de alguém que teve sua conta do Instagram, Facebook, etc. hackeada.

Na maioria das vezes, o motivo é que as pessoas usam senhas bem fracas como "senha", "123456", "00000", ou então, utilizam a mesma senha para todas as outras contas, o que é sempre uma péssima idéia.

Eu escrevi um post explicando como utilizar senhas seguras e você pode ler ele clicando aqui

Ainda que sua senha seja uma senha forte, única, ainda existe uma questão: se por algum motivo sua senha for roubada do seu computador, seu bloco de notas, essa pessoa que roubou pode facilmente acessar sua conta, afinal, ela precisa somente do seu email + senha.

Mas então, qual a solução?

Autenticação de 2 fatores (2FA)

Hoje em dia, quase todas as redes sociais e plataformas oferecem uma coisa chamada "Autenticação de 2 fatores" ou "Autenticação em duas etapas", mas o que diabos é isso?

Lembra o que eu disse sobre uma pessoa hacker tendo acesso ao seu email + senha, consegue acessar sua conta? Com autenticação em 2 fatores, é como se a gente adicionasse uma terceira etapa pra poder logar em um serviço.

Fazendo uma analogia, chave + email (ou usuário) seria uma chave que abre a fechadura da tua casa. Quando a gente ativa a autenticação de 2 fatores, seria como se a gente a porta tivesse uma outra chave, mas agora uma chave tetra que anda com você o tempo todo.

Como funciona?

Existem alguns modelos de autenticação em duas etapas, como utilizar SMS, um aplicativo especializado nisso ou até mesmo uma "chave USB" (esse, um pouco mais avançado).

Mensagem de texto (SMS)

Nunca, NUNCA utilize SMS como autenticação de 2 fatores.

É sabido que o sistema que o SMS usa (já tem algumas décadas) tem vários problemas de segurança e qualquer pessoa que saiba minimamente técnicas de hacking pode "escutar" as mensagens de SMS que chegam no seu telefone.

Na comunidade técnica existe uma briga pros serviços pararem de usar SMS como meios de receber "código" justamente pela facilidade dessa informação ser roubada.

Ou seja, imagina que um hacker esteja tentando hackear sua conta. Ele tem seu email/usuário + senha, mas percebeu que você ativou a autenticação em dois fatores. Por SMS, ele pode (com um pouco de esforço), dar um jeito de interceptar suas mensagens e pegar o código enviado, roubando sua conta.

Caso tenha interesse, o G1 publicou uma matéria explicando como os hackers interceptam as mensagens SMS hoje em dia.

Mas então, qual a opção?

Aplicativos de autenticação em dois fatores

Uma das melhores maneiras para usar autenticação em dois fatores é utilizando um aplicativo terceiro.

Eu sei, parece estranho, mas existe um protocolo bem complexo que torna todo o trâmite seguro.

Quando a autenticação está ativa, ao tentar logar no site, você vai ter que digitar seu usuário e senha normalmente, e, na segunda etapa, vai precisar entrar no aplicativo, pegar o código (que se renova a cada 30 segundos) e colocar no aplicativo.

Somente se o seu usuário, senha e código (que tem validade) estiverem válidos, você vai poder se logar no site.

"Beleza Raul, mas o hacker não vai poder ter acesso a esse aplicativo?"

Excelente pergunta.

Ele até pode, mas só se ele tiver acesso direto ao teu celular presencialmente ou por algum aplicativo que você instalou fora da loja de aplicativos oficial.

Ou seja, a pessoa pra hackear o seu código vai precisar acessar seu celular remotamente (nunca instale aplicativos fora da App/Google store) ou vai ter que estar perto de você fisicamente, acessar seu telefone pessoalmente, abrir o aplicativo de 2 fatores, pegar o código e fazer o login em menos de 30 segundos.

Vamos combinar que as chances de isso acontecer são BEM pequenas.

Logo, a gente pode concluir que é a melhor opção.

Qual aplicativo instalar?

Como eu disse anteriormente, autenticação em dois fatores é um protocolo, ou seja, um conjunto de regras que descrevem como o processo de segurança deve acontecer. Ou seja, vários aplicativos podem implementar o mecanismo de gerar os códigos.

Existem várias opções, pessoalmente, eu uso um gerenciador de senhas chamado 1Password. Nele, além de guardar as senhas das minhas contas, eu também posso deixar salvo os meus códigos de autenticação em duas etapas.

Se você digitar "2FA" (2 factor autentication) na sua loja de aplicativos (tanto no Android quanto no IOS), vai ver que existem DEZENAS de opção.

Para começar simples, eu te recomendo a usar o aplicativo da Microsoft chamado "Microsoft Authenticator". E o motivo é que a gente sabe quem é a desenvolvedora (a Microsoft) e existe back-up, ou seja, você pode recuperar seus códigos caso perca o telefone por exemplo.

A única opção que eu não recomendo é o Google Authenticator. Essa é sem dúvida a pior opção, porque apesar de ser do Google, eles fizeram a opção de não deixar a gente recuperar os códigos caso aconteça qualquer coisa com seu celular.

Imagina que você baixou esse aplicativo e criou vários códigos pra vários sites. Andando na rua, alguém rouba seu celular. Pra sua sorte, você tem um reserva em casa, mas você perdeu pra sempre todos seus códigos de autenticação. Agora, tentando acessar o instagram, ele te pede o código de autenticação que você já não tem mais (e nunca mais vai ter).

Aqui vou fazer um parêntesis que na maioria das vezes, os sites dão pra gente vários "códigos de segurança" que podem ser usados nesse caso. Mais pra frente eu vou mostrar como funciona.

Das duas uma: ou você vai perder sua conta pra sempre ou vai te dar muita dor de cabeça pra provar que você é você pro Instagram desativar a autenticação em dois fatores e te devolver a sua conta.

Então, caso queira usar um outro aplicativo que não seja o da Microsoft, garanta que você tem a change de recuperar os códigos em caso de perda/roubo do celular.

Instalação e ativação no Instagram

Caso você queira algo mais dinâmico que um texto, recomendo assistir esse vídeo de 5 minutos:

O primeiro passo é instalar o autenticador.

Novamente, vou recomendar o da Microsoft mas fique à vontade pra usar qualquer um que seja possível fazer backup.

Você pode tanto procurar na app store do seu telefone ou acessar a página do aplicativo, onde haverá as instruções de instalação.

Depois de instalado, vai ser necessário fazer login com uma conta da Microsoft.

É importante porque lembra que eu falei que se você perder o celular, consegue recuperar os códigos? Nesse caso, quando você trocar de aparelho, vai poder instalar de novo o aplicativo, logar com a sua conta e ter acesso a todos os códigos. Sem uma conta isso é praticamente impossível.

Depois da instalação você:

  1. Abrir seu instagram;
  2. Abrir a página do teu perfil;
  3. Clique no menu com 3 riscos;
  4. Clique em "configurações";
  5. Clique em "segurança"
  6. Clique em "Autenticação de dois fatores";
  7. Clique em "Começar";
  8. Clique na opção "Aplicativo de Autenticação"

Nessa etapa, se você já tiver o aplicativo instalado, o Instagram vai sugerir pra você adicionar automaticamente com o Microsoft Authenticator.

Caso você seja usuário Apple, existe uma integração automática pra salvar no teu "Apple password". Pode ser uma boa ideia, uma vez que sempre vai conseguir fazer backup com o iCloud. O grande problema é que se você não conseguir um outro iPhone caso perca o atual, não vai poder recuperar o código usando um Android por exemplo.

A minha recomendação continua sendo utilizar um aplicativo terceiro, mas fica ao seu critério.

Caso ele não abra o aplicativo, existe uma opção em baixo chamada "Configurar de outra maneira".

Nessa opção, ele vai te dar um código:

Código autenticação de 2 etapas Instagram
Código autenticação de 2 etapas Instagram

Você vai:

  1. Copiar esse código;
  2. Abrir o Microsoft Authenticator;
  3. Clicar no símbolo de "+";
  4. "Outra conta (Google, Facebook, etc)"

Ele vai pedir pra usar a sua câmera, e aqui você pode liberar. Isso é porque se você estiver fazendo isso pelo computador por exemplo, ao invés de um código pra copiar e colar, sempre vão te dar um código QR pra você escanear e tudo ser configurado automaticamente.

Como a gente está fazendo tudo pelo celular, clique em "digitar o código manualmente".

Na tela seguinte você vai dar um nome que queira e no campo "chave" (ou em inglês key), você vai colar o código que copiou do instagram e em seguida, clique em "Terminar".

Se tudo correr bem, você vai voltar pra tela inicial do app da Microsoft e o seu código do instagram vai aparecer lá.

De volta pro Instagram, a tela ainda será do código. Ali, clique no botão "continuar".

Ele vai pedir pra você colar o código. Volte no aplicativo da Microsoft, copie o código, volte pro Instagram e cole o código lá.

É importante não demorar a fazer porque como já deve ter percebido, cada código tem validade de 30 segundos.

Em seguida, aparecerá uma mensagem falando que deu certo e na tela seguinte, vai te dar seus códigos de recuperação.

Esses códigos são MUITO importantes porque caso você não consiga por algum motivo recuperar seus códigos de autenticação, com UM desses códigos você conseguirá recuperar a sua conta.

Portanto, tire um print e salve em um lugar muito seguro ou anote em papel e guarde-os muito bem guardados.

Ativando em outros sites

No geral, o procedimento pra qualquer site é sempre o mesmo: você vai entrar na sua conta, vai procurar por alguma opção de "segurança" e se o serviço tiver a opção, vai estar como "Autenticação em duas etapas" ou "Autenticação de dois fatores".

Quase sempre o método recomendado é um aplicativo terceiro, que agora a gente já tem instalado e configurado.

Caso você não consiga fazer, abre o youtube e digita: "como ativar autenticação em duas estapas do XYZ".

SEMPRE vai ter um vídeo que mostra o passo-a-passo pra isso. O aplicativo de autenticação pode variar, mas o processo sempre será o mesmo.

Os aplicativos que eu recomendo MUITO você colocar são: "Todos que possam colocar sua segurança digital em risco".

Alguns exemplos:

  • Conta do Google;
  • Conta da Microsoft;
  • Qualquer email que possa ter;
  • Instagram;
  • Facebook;
  • Twitter;
  • Qualquer outra rede social;
  • Aplicativos de banco (geralmente eles tem uma opção de biometria do celular);

Conclusão

Espero que nesse ponto, você tenha conseguido ativar a segunda etapa no seu instagram.

Eu entendo super que essas questões de segurança sempre são chatas de fazer e manter, mas assim no mundo de hoje é fundamental você proteger a sua identidade virtual, uma vez que já faz parte da nossa rotina.

Imagina perder acesso ao seu Instagram profissional, da empresa, ou até mesmo no seu que tem seu histórico dos úlitmos 10 anos.

Os alvos de hack são geralmente pessoas que tem uma certa relevância digital (pessoas com muitos seguidos), mas a gente nunca sabe quem ta perto da gente e quer fazer algum mal.

Boa sorte!