O que é um aplicativo autenticador

Um aplicativo autenticador é uma ferramenta de segurança que gera códigos de verificação baseados em tempo usando algoritmos criptográficos (como TOTP ou HOTP) para adicionar uma camada extra de proteção às suas contas.

Vazamentos de senhas acontecem o tempo todo, e confiar apenas em senhas não é mais seguro. É por isso que grandes sites e aplicativos agora oferecem Autenticação de Dois Fatores (2FA) ou Autenticação de Múltiplos Fatores (MFA). Aplicativos autenticadores são uma ferramenta popular de 2FA que gera códigos de verificação dinâmicos para proteger suas contas juntamente com suas senhas.

Como funciona um aplicativo autenticador?#

Um aplicativo autenticador funciona compartilhando uma chave secreta única com o servidor onde sua conta está hospedada. Quando você configura o 2FA pela primeira vez, o serviço gera essa chave secreta e a exibe como um código QR. Assim que você escaneia esse código com seu aplicativo autenticador, tanto seu aplicativo quanto o serviço agora possuem o mesmo segredo - e só eles o conhecem.

Usando esse segredo compartilhado junto com o horário atual, ambos os lados podem gerar independentemente o mesmo código de verificação de 6 dígitos através de algoritmos padronizados (tipicamente TOTP - Senha de Uso Único Baseada em Tempo). Quando você tenta entrar, o serviço compara o código que você insere de seu aplicativo autenticador com o código que gerou - se coincidirem, você tem acesso.

O processo de configuração é simples:

1. O serviço gera uma chave secreta única
2. Você escaneia o código QR contendo esse segredo com seu aplicativo autenticador
3. O aplicativo armazena o segredo com segurança em seu dispositivo
4. A partir de então, ambos os lados podem gerar códigos de verificação correspondentes quando necessário

Por que os aplicativos autenticadores são seguros?#

Os aplicativos autenticadores oferecem uma segurança impressionante. De acordo com a pesquisa do Google, eles bloqueiam 99,9% dos ataques automatizados - isso é 50% mais eficaz do que a verificação por SMS. Vamos explorar por que eles são tão seguros:

Segurança matemática#

Imagine o desafio de invadir:

• Códigos SMS: Como adivinhar um número de 6 dígitos (1 milhão de possibilidades)
• Chave do autenticador: Como adivinhar um número de 80 bits (mais combinações do que átomos no universo)

Proteção baseada em tempo#

Comparação de validade de código:

• Códigos SMS normalmente permanecem válidos por 5-10 minutos, criando um risco significativo de segurança
• Códigos de aplicativo autenticador atualizam a cada 30 segundos, tornando-os praticamente impossíveis de explorar

Benefícios de geração offline dos aplicativos autenticadores#

• Não é necessária transmissão de rede
• Sem risco de interceptação de SMS
• Imune a ataques de clonagem de cartão SIM

Por que os hackers não conseguem quebrar os aplicativos autenticadores?#

Pense nisso como um cofre com uma combinação que muda sempre:

• Muda a cada 30 segundos
• Requer tanto a "chave secreta" quanto o "tempo exato"
• Mesmo que um código seja roubado, o próximo permanece seguro

O que você sabe (senha) + O que você tem (aplicativo autenticador) + Matemática baseada em tempo = Proteção quase inquebrável

Como usar um aplicativo autenticador: Um guia passo a passo#

Vamos aprender a usar um aplicativo autenticador através de um exemplo prático.

Demonstramos o processo usando o serviço de autenticação do Logto.

Passo 1: Baixe e configure seu aplicativo autenticador de fontes confiáveis#

1. Baixe um aplicativo autenticador confiável:
   • Google Authenticator
   • Microsoft Authenticator
2. Instale o aplicativo no seu telefone
3. Complete a configuração inicial (crie uma conta se necessário) de acordo com as instruções do aplicativo.

Passo 2: Ativar suporte de aplicativo autenticador para o aplicativo demo do Logto#

1. Faça login ou cadastre-se em Logto Cloud, e crie seu primeiro locatário de acordo com o guia de introdução.

2. Vá para Console > Autenticação de Múltiplos Fatores, e ative os fatores de autenticação App Autenticador OTP e Código de Backup e escolha "Os usuários sempre devem usar MFA no login" como a política de verificação em duas etapas, em seguida, clique em Salvar alterações.

3. Vá para Console > Experiência de Login > Inscrever-se e fazer login, selecione Nome de usuário como o identificador de inscrição, e remova Endereço de e-mail do identificador de login, em seguida, clique em Salvar alterações,

Passo 3: Escanear o código QR para vincular o aplicativo autenticador à sua conta no aplicativo demo#

1. Ainda na página de Experiência de Login do Console do Logto, clique no botão "Live preview" no canto superior direito da seção "Preview de Login"**. Em seguida, você será redirecionado para a página de login do aplicativo demo.

2. Clique no botão criar uma conta na página de login, insira seu nome de usuário e senha para criar uma conta, e então você verá uma tela exibindo um código QR.

3. Abra seu aplicativo autenticador e escaneie o código QR. Então você verá uma tela exibindo um código de 6 dígitos.

4. Insira o código de 6 dígitos para confirmar a vinculação, e então você será redirecionado para uma página de código de backup. Lembre-se de salvar o código de backup em um local seguro.

5. Clique no botão Continuar, e você estará logado com sucesso no aplicativo demo.

Passo 4: Tente entrar no aplicativo demo com o aplicativo autenticador#

1. Quando você estiver logado com sucesso no aplicativo demo, clique no botão Sair da pré-visualização ao vivo para sair do aplicativo demo e retornar à página de login do aplicativo demo.

2. Tente entrar no aplicativo demo com seu nome de usuário e senha, e você descobrirá que precisa inserir um código de 6 dígitos para entrar.

3. Abra seu aplicativo autenticador, insira o código de 6 dígitos mostrado relacionado a logto.app, e você estará logado com sucesso no aplicativo demo!

Como usar aplicativos autenticadores com segurança?#

Os aplicativos autenticadores são seguros, mas você precisa usá-los corretamente para obter a melhor proteção:

Baixe de fontes confiáveis#

• Obtenha seu aplicativo autenticador apenas de lojas de aplicativos oficiais (Google Play Store, Apple App Store)
• Use aplicativos populares de empresas confiáveis como Google, Microsoft.
• Cuidado com aplicativos falsos - eles podem roubar suas contas

Mantenha seus códigos de backup seguros#

• Salve seus códigos de backup em algum lugar seguro offline ou em um gerenciador de senhas
• Não mantenha os códigos de backup no mesmo dispositivo que seu aplicativo autenticador
• É inteligente armazenar códigos de backup em mais de um lugar seguro
• Verifique ocasionalmente se você ainda pode acessar seus códigos de backup

Tenha cuidado durante a configuração#

Ao adicionar contas ao seu aplicativo autenticador:

• Escanei códigos QR quando não houver mais ninguém por perto
• Nunca tire capturas de tela dos códigos QR ou chaves secretas
• Não compartilhe chaves secretas por mensagens ou e-mail
• Se você copiar uma chave secreta, limpe sua área de transferência depois

Outras dicas de segurança#

• Use desbloqueio por impressão digital ou rosto em seu aplicativo autenticador, se puder
• Faça backup do seu aplicativo autenticador regularmente
• Mantenha seu telefone e aplicativo autenticador atualizados
• Para contas importantes, você pode querer usar um aplicativo autenticador separado

O que fazer se eu perder meu aplicativo autenticador?#

Não se preocupe se você perder seu aplicativo autenticador. Ao configurar o 2FA, os serviços fornecem códigos de backup - estas são emergências de uso único que você deve armazenar com segurança offline ou em um gerenciador de senhas.

Aplicativos autenticadores populares oferecem recursos de backup:

• Google Authenticator: Backup em nuvem para Conta do Google
• Microsoft Authenticator: Backup em nuvem e recuperação

Se tudo mais falhar, você pode entrar em contato com o suporte ao cliente para obter ajuda.