Autenticadores são parte da vida de usuários de criptomoedas, sendo um requisito básico de segurança para quem usa exchanges.
A primeira atualização do Google Authenticator em anos pode impactar a vida dos usuarios de criptomoedas. O CriptoFácil conversou com um especialista em segurança para explicar o que muda.
Migrando a autenticação
Em sua primeira atualização, o Google Authenticator melhora seu visual e acrescenta uma funcionalidade. Agora, usuários terão uma forma oficial de migrar seus tokens de autenticação.
A mudança já era possível, porém, era necessário passar por um processo confuso usando a conta Google. O novo processo de autenticação funcionará da seguinte forma:
“Usuários poderão selecionar as contas para exportar. Então, após verificar com o dispositivo por meio de PIN ou biometria, será exibido um QR Code. Ele poderá ser escaneado por outro dispositivo usando o Authenticator no modo importação.”
Entretanto, a novidade pode trazer problemas para usuários. Tendo em vista que o Authy já tem essa funcionalidade, o que muda? O CriptoFácil conversou com um especialista em segurança para entender melhor.
Equilíbrio entre praticidade e segurança
Leandro Trindade é especialista em segurança e CTO da Acess Security Lab. De acordo com Trindade, o equilíbrio entre praticidade de uso de uma ferramenta e sua segurança é um antigo dilema da área de segurança.
Ele explica o básico sobre segurança:
“Segurança é unir uma coisa que você tem, uma coisa que você sabe e uma coisa que você é. Consequentemente, unir os três implica em um sistema seguro. Uma coisa que você tem seria o 2FA; uma coisa que você sabe seria uma senha, teoricamente só você sabe; e uma coisa que você é, por exemplo, pode ser a biometria.”
Em outras palavras, a atualização do Authenticator afeta o fator “o que você tem”. Antes, o aplicativo não permitia a migração, o que o tornava mais seguro – porém, menos prático.
Trindade ressalta que essa é a questão principal:
“É chato se você usa o Authenticator em várias plataformas e perde o celular. É como cancelar um cartão, você precisa ir em cada plataforma e pedir a exclusão do token. Consequentemente, o Google percebeu isso e resolveu mudar. O Authenticator fica mais prático, porém, existe a possibilidade de obter o fator de autenticação de outra pessoa. Não é um processo simples, mas possível com esforço.”
Em suma, o que ocorre é uma troca entre segurança e praticidade. Consequentemente, usuários do Authenticator agora estarão sujeitos a ataques, embora isso não implique diretamente em uma grande vulnerabilidade.
Como ressaltado pelo próprio especialista, a relação entre usabilidade e segurança é um problema de longa data.
Leia também: 5 passos para usar uma carteira de criptomoedas
Leia também: Novo malware para Android ataca carteiras de criptomoedas
Leia também: John McAfee diz que recebeu uma ligação de Satoshi Nakamoto pedindo para não ser revelado