Blog da Spaceship

Por que a 2FA deve ser seu hábito nº 1 de segurança de e-mail

Atualizado em
8 min de leitura

Ela foi inventada nos anos 90 (e é amplamente atribuída à AT&T), mas só ganhou destaque em meados dos anos 2000. A autenticação de dois fatores (ou 2FA, como é mais conhecida) tem uma premissa tão simples que é quase bela — combinando algo que você sabe com algo que você tem.

O problema e a solução

O problema:

Um nome de usuário e uma senha eram tudo o que existia entre nossos dados e o acesso não autorizado. Nossas contas são essencialmente uma porta sem monitoramento, pronta para ser violada 24/7 sem o nosso conhecimento. Isso não é ajudado pelo fato de que nomes de usuário quase sempre seguem um padrão, e senhas também podem ser fáceis de adivinhar porque todos nós tendemos às mesmas ideias.

Por exemplo, uma única palavra seria difícil para outro ser humano adivinhar, mas, devido ao número limitado de palavras na língua inglesa, é surpreendentemente fácil para um computador. É por isso que muitos sites nos pedem para reforçar nossas senhas com letras e caracteres especiais. Mas, com softwares de invasão cada vez mais sofisticados e agora com o advento da IA, nem isso é suficiente. Lembre-se de que essa “porta” para sua conta pode ser descoberta no éter 24/7.

A solução:

Validar que é realmente você fazendo login usando algo que só pode (logicamente) estar em sua posse. Isso pode ser um smartphone, conta de e-mail, chave ou até biometria. Seja qual for o método usado, a 2FA garante que tentativas de login não autorizadas possam ser bloqueadas, e que você possa agir para mitigar novas violações.

Claro, é uma verificação de identidade sofisticada — o equivalente a olhar pelo olho mágico antes de destrancar a porta da frente — mas a implementação é bastante engenhosa quando você pensa nisso. A quantidade de segurança e conscientização que a 2FA adiciona a uma conta a eleva para além da soma de suas partes.

Então, por que demorou tanto para se popularizar? Provavelmente foi apenas uma combinação do aumento gradual do cibercrime ao longo dos anos, da frequência com que as pessoas passaram a ter dispositivos secundários e do aumento do poder computacional à disposição dos cibercriminosos, o que fez com que ela tivesse de esperar seu momento de brilhar. Também é possível que houvesse preocupações com a perda do dispositivo secundário.

Onde vimos a 2FA se destacar por anos

Aplicativos bancários e financeiros já a utilizam há alguns anos. Mas, se você ainda não percebeu isso chegando às suas contas mais “do dia a dia”, provavelmente perceberá em breve. A implementação já está em andamento à medida que a tecnologia de invasão se torna mais sofisticada, e as empresas de dados têm uma responsabilidade cada vez maior de proteger nossos dados.

Vamos analisar a 2FA no contexto de contas de e-mail, por exemplo. Até agora, você pode ter considerado um pouco trabalhoso ou cauteloso demais ativar a 2FA para suas contas de e-mail — mas vamos mostrar por que isso vale tanto a pena, especialmente se você tem um negócio.

Por que adicionar 2FA para proteger sua conta de e-mail?

Bem, em primeiro lugar, considere que uma segunda camada de proteção além da sua senha nunca é realmente algo ruim. Agora, pare e pense no tipo de dados sensíveis que sua conta de e-mail contém:

  • Informações bancárias — do tipo que você já protege com 2FA em outros lugares há anos.

  • Anexos pessoais — fotos, documentos ou até criações sobre as quais você quer ter a propriedade intelectual.

  • Histórico de compras — e outros dados que podem ser valiosos para anunciantes.

  • Dados médicos — registros de consultas, medicação ou até condições de saúde.

  • Dados imobiliários — a compra de casas e processos importantes semelhantes muitas vezes é feita sem papel.

E, como mencionamos, se você tem um negócio, esses dados quase certamente também incluem os de seus clientes. Manter esses dados seguros é uma obrigação legal em países com regras como o GDPR. Então, proteger o e-mail já está começando a parecer uma decisão óbvia, e ainda nem terminamos!

Talvez o motivo mais crucial para manter seu e-mail seguro seja o fato de ele ser uma porta de entrada para muitas das suas outras contas. Há anos, ele é uma forma comum de redefinir senhas. Tudo o que alguém com acesso ao seu e-mail precisa fazer é ler suas mensagens para descobrir em quais sites você tem contas e, em seguida, passar pelo processo de ‘esqueci a senha’ neles.

Em quase todos os sites menores, a conta de e-mail registrada é tudo o que impede alguém de acessar sua conta. Isso pode significar que muitas das suas contas sejam comprometidas antes mesmo de você perceber que sua conta foi invadida.

Adicione 2FA à sua conta com facilidade

A boa notícia é que é muito fácil adicionar 2FA à maioria das contas de e-mail. Contas de e-mail empresariais ou profissionais têm uma probabilidade especialmente alta de oferecer esse recurso. O processo de ativação geralmente é simples e muito rápido de configurar, especialmente se você já tiver um autenticador para outros aplicativos.

Vamos analisar o Spacemail (da Spaceship como um bom exemplo), em que a 2FA pode ser ativada com alguns cliques.

  1. Faça login na sua conta

  2. Clique na engrenagem de configurações no canto superior direito da tela.

  3. Clique em ‘Abrir central de segurança’ na segunda caixa.

  4. Clique em TWO FACTOR AUTHENTICATION na aba.

  5. Escolha um dos dois tipos de 2FA compatíveis.

Não se esqueça de fechar outros pontos de entrada

Adicionar 2FA ao login principal é ótimo, mas há uma boa chance de você ter outra porta dos fundos para sua conta de e-mail se ela estiver conectada a um aplicativo (como Outlook ou Gmail) no seu telefone.

Os protocolos usados para habilitar esse recurso incluem IMAP, SMTP e POP3. Se estiverem ativados, o acesso à sua conta poderá ser configurado usando um aplicativo, contornando a 2FA que você configurou. Para garantir a segurança, desative esses protocolos, se possível.

No caso do Spacemail, um aplicativo está atualmente em desenvolvimento, com lançamento previsto para o final deste ano. Isso permitirá acesso fácil ao seu e-mail em um dispositivo como um smartphone, sem comprometer a segurança.

Tipos de 2FA

Falando em “tipos de 2FA”, vamos analisar mais de perto o que são e como funcionam no contexto do Spacemail. Em termos gerais, existem três tipos de 2FA. Todos usam um elemento diferente para autenticação.

“Algo que você sabe”

Isso inclui coisas como números PIN adicionais ou perguntas de segurança. São informações que só você deveria saber — mas, em muitos aspectos, não são tão diferentes de uma senha. Uma forma mais antiquada de 2FA, ela está sendo gradualmente descontinuada em favor dos métodos abaixo.

Você pode ter ouvido, vários anos atrás, a recomendação de escolher um ‘nome de solteira da mãe’ ou ‘primeiro animal de estimação’ falso para evitar que as pessoas adivinhem ou pesquisem sua resposta.

Devido à sua relativa insegurança, esse método não é compatível com o Spacemail.

“Algo que você é”

Já tocamos brevemente nesse ponto. Esse tipo de 2FA depende de dados biométricos, como impressões digitais, reconhecimento facial e reconhecimento de voz. Isso é útil quando um dispositivo secundário pode não ser a melhor opção; por exemplo, em muitos casos, estamos usando um smartphone que é ele próprio o dispositivo secundário.

A biometria permite uma validação secundária usando o próprio indivíduo. Embora isso exija sensores adicionais geralmente encontrados apenas em dispositivos recentes e sofisticados.

“Algo que você tem”

A maior parte da 2FA se enquadra nessa categoria, e isso vale para ambas as opções que você encontrará no Spacemail. Elas exigem a posse de um dispositivo ou item específico. Há várias maneiras de implementar esse método.

TOTP (senha única baseada em tempo)

Um código gerado por um aplicativo autenticador fornece um login seguro. Você pode usar aplicativos autenticadores ou enviar códigos de uso único por SMS/e-mail. No caso da Spaceship, o TOTP só é permitido por aplicativo autenticador porque isso é muito mais seguro.

U2F (segundo fator universal)

O U2F usa criptografia de chave pública, tornando-o mais seguro e resistente a phishing. Ele não exige digitar códigos manualmente. Você simplesmente insere uma chave de hardware (como uma YubiKey) no seu dispositivo. Isso tem o benefício adicional de que, se alguém roubar seu smartphone, será necessário um dispositivo adicional (a chave) para acessar contas protegidas por 2FA.

Qual método escolher

O U2F é geralmente considerado mais seguro porque os dispositivos são resistentes a adulteração, e o processo criptográfico está vinculado ao site ou aplicativo específico. Isso garante que, mesmo que um usuário seja enganado e visite um site falso, a autenticação falhará, pois o site falso não consegue replicar a conexão segura necessária.

É claro que comprar uma chave U2F implica um custo, mas isso pode valer a pena quando se trata da sua segurança.

2FA como parte de uma dieta de segurança equilibrada…

O ser humano não vive só de 2FA. Ela não substitui boas práticas gerais de segurança. Nossas contas de e-mail são especialmente propensas a ataques de phishing e malware. A ironia é que ninguém precisa entrar na sua conta para representar uma ameaça dessa forma. Basta enviar um e-mail.

É por isso que contas que oferecem outras proteções contra ameaças por e-mail, especialmente filtros antispam, também são um investimento inteligente. Ao impedir que você sequer veja e-mails que contenham armadilhas de engenharia social ou malware, você nem chegará a ver o maior risco à sua segurança.Ative a 2FA na sua conta hoje mesmo e, se perceber que ela não oferece isso, considere mudar para uma que ofereça.

Perguntas frequentes

2FA é a sigla para autenticação de dois fatores. O método mais comum de 2FA adiciona uma camada extra de segurança aos logins ao combinar algo que você sabe (seu nome de usuário e senha) com algo que está em sua posse (mais comumente um smartphone ou chave). Isso significa que você será alertado se qualquer login não autorizado for solicitado.

O 2FA verifica sua identidade quando você acessa sua conta. Ao fazer isso, ele também alerta você se outra pessoa estiver tentando entrar. Contas de e-mail são alvos particularmente bons para cibercriminosos, porque contêm muitos dados sensíveis e também podem atuar como uma porta de entrada para outras contas por meio do processo padrão de ‘esqueci a senha’ — que depende muito do endereço de e-mail registrado.

Muitas contas, especialmente as projetadas para usuários empresariais, incluem isso como padrão. Geralmente é bem fácil configurar acessando as configurações de segurança. Normalmente é mais rápido fazer isso se você já tiver um aplicativo autenticador ou chave que usa.

Sim, existem vários tipos de 2FA. O mais comum utiliza um dispositivo como um smartphone ou uma chave U2F (um dispositivo separado). A biometria também conta como um segundo fator de autenticação, e as mais antiquadas perguntas de segurança (como “nome de solteira da mãe”) tecnicamente também contam, mas raramente são usadas hoje em dia devido à facilidade com que podem ser adivinhadas.

Faça login na sua contaClique na engrenagem de configurações no canto superior direito da tela.Clique em ‘Launch security center’ na segunda caixa.Clique em TWO FACTOR AUTHENTICATION na aba.Escolha um dos dois tipos de 2FA compatíveis.

Foto de perfil de Jamie Long
Escrito por

Jamie Long

Jamie é um redator e autor baseado no Reino Unido que trabalha para a Spaceship desde o início. Ele também é um músico com formação clássica, com grande interesse em comédia, e escreve romances em seu tempo livre.
Mais artigos de Jamie Long

Avalie este artigo

5/52 Avaliações
Partilhe esta notícia

Artigos sugeridos

Mantendo-se seguro no e-mail na era digital
Uma parte considerável dos crimes na Internet acontece por e-mail. Conheça as maneiras mais fáceis de implementar a segurança de e-mail na sua empresa com estas dicas de segurança de e-mail.
Jamie L.
8 min de leitura
Por que pequenas empresas preferem provedores de e-mail seguro
Escolher o provedor de e-mail seguro certo exige consideração, mas não precisa ser uma decisão difícil.
Jamie L.
9 min de leitura
Principais ameaças de segurança para empresas online novas e em crescimento
Descubra os principais tipos de ameaças de segurança para pequenas empresas e como combatê-las com mais facilidade.
Cora Q.
7 min de leitura
As diferentes faces das ameaças por e-mail
Familiarize-se com os golpes por e-mail mais comuns para poder se proteger contra eles.
Jamie L.
15 min de leitura

Compartilhe seus pensamentos

São necessários mais de 10 caracteres.
Sua identidade para exibição pública.
Fornecer seu endereço de e-mail é opcional. Não será compartilhado com terceiros.

Ajude-nos a melhorar nosso blog

Compartilhe seus pensamentos em uma rápida pesquisa de dois minutos.

É necessário um e-mail válido