Vídeo: Duo Care - Premium Support (Outubro 2024)
As senhas são terríveis como uma forma de autenticação. Qualquer pessoa que hackeie, adivinhe ou navegue pela sua senha terá acesso total à sua conta. Usar um gerenciador de senhas para gerenciar senhas fortes e exclusivas para todos os seus sites pode ajudar. Aquele surfista de ombros terá dificuldade em lembrar uma senha como! AtAVethabU? Rur2. Mas, para segurança séria, você deseja autenticação de dois fatores (2FA). O Duo Mobile gratuito oferece exatamente isso.
Primeiro, uma atualização de dois fatores. Os especialistas em segurança falam sobre três itens que podem ser usados para autenticação: algo que você sabe, algo que é e algo que possui. Autenticação de dois fatores significa apenas usar pelo menos dois desses três.
Uma senha é um exemplo de algo que você conhece; esse é um fator. Sua impressão digital é um exemplo de algo que você é. Mas uma impressão digital não é um ótimo fator para todos, porque os leitores de impressões digitais não são onipresentes nem perfeitamente precisos. A grande maioria das soluções modernas de dois fatores se baseia em algo que quase todo mundo tem - um smartphone. O prático site Turn It On explica como ativar a autenticação simples baseada em SMS para mais de 100 sites.
A autenticação baseada em SMS funciona com qualquer tipo de telefone celular, não apenas com smartphones. No entanto, quando há um smartphone real disponível, a autenticação baseada em aplicativo é ainda melhor. Ele não atinge nenhum limite de mensagens e a autenticação baseada em aplicativo funciona mesmo em dispositivos móveis que não possuem conectividade celular. A Força-Tarefa de Engenharia da Internet definiu um padrão público para autenticação baseada em aplicativo e sua implementação mais conhecida é o Google Authenticator (GA). No entanto, o Google não é a única empresa com um cachorro nesta corrida.
Simples de Usar
Como o Twilio Authy, o Duo Mobile pode lidar com autenticação de dois fatores para qualquer um dos muitos sites que oferecem suporte ao Google Authenticator. Você começa instalando o aplicativo no iOS, Android, BlackBerry ou Windows Phone. Para ativar o aplicativo 2FA em um site seguro, basta seguir as instruções do site como se você fosse usar o Google Authenticator. Encaixe o código QR resultante com o Duo Mobile e você estará pronto para começar.
Agora, sempre que você precisar de um código de autenticação para um site, basta tocar no ícone de chave ao lado do nome do site na lista do Duo mobile. Os códigos são limitados no tempo; se o tempo acabar, o código desaparecerá e você deverá pressionar a tecla novamente para outro código. Eu prefiro a maneira como o Authy lida com a expiração do código. Ele fornece uma indicação visual do tempo restante do código e exibe automaticamente um novo código quando o tempo acabar. No Google Authenticator, o código pisca em vermelho alguns segundos antes do vencimento.
Instalei o Duo Mobile no meu iPhone 6 com facilidade. Em alguns minutos, eu o configurei para ajudar a autenticar minhas contas do Gmail, Evernote e Dropbox. Simples!
Você pode configurar vários dispositivos para usar o Duo Mobile no lugar do GA. No entanto, como no GA, você precisará configurar cada um separadamente. Authy, por outro lado, pode fazer um backup criptografado do seu conjunto de sites seguros, sincronizá-lo entre dispositivos e até revogar o acesso a um dispositivo perdido ou roubado.
Duo Push, ainda mais simples
Sempre que o Duo Mobile substitui o Google Authenticator, ele deve ser autenticado, fornecendo um código de autenticação numérico. É assim que o Google Authenticator funciona. Mas quando um site usa especificamente a tecnologia da Duo, o recurso super simples do Duo Push se torna uma opção.
Com o Duo Push, você não copia nenhum número. O aplicativo ou site envia uma solicitação de autorização para o aplicativo no seu smartphone (ou dispositivo vestível), que exibe dois botões simples, Aprovar e Negar. Se você estiver acessando ativamente a conta em questão, basta tocar em Aprovar. Se a solicitação surgir do nada, toque em Negar (e verifique se sua conta está sendo atacada). Authy criou um recurso semelhante que agora está nas mãos dos desenvolvedores do site, e o recurso Keeper DNA do Keeper Password Manager e o Digital Vault 8 permite que você faça login no seu cofre de senhas com um toque.
A Duo Security fornece autenticação de dois fatores para uso interno por grandes empresas, que, é claro, podem escolher entre a autenticação baseada em código e o simples Duo Push. Para o consumidor médio, não há muitos lugares para usá-lo. No lado positivo, um desses poucos é o popular gerenciador de senhas LastPass 3.0.
Não é tão simples de configurar
Abri a página de configurações da minha conta LastPass e cliquei na guia Opções multifatoriais. Mesmo em sua edição gratuita, o LastPass suporta o Duo Mobile, bem como o Google Authenticator, Toopher e Transakt. Aqueles que usam o LastPass 3.0 Premium também podem optar por se autenticar com um YubiKey, um leitor de impressão digital ou o token Sesame baseado em USB.
Quando selecionei o Duo Security para autenticação de dois fatores, o LastPass me enviou para criar uma conta do Duo Security. Observe que eu não precisava de uma conta apenas para usar o Duo no lugar do GA. Preenchi meu e-mail, número de celular e uma senha mestra. Ele também queria o nome da empresa e o número de funcionários (escolhi "Apenas eu"). Eu bati o código QR resultante com o Duo Mobile para concluir o registro.
O login na minha nova conta me deu minha primeira experiência com o Duo Push. Na verdade, deixe-me escolher autenticar com o Duo Push, com um código transmitido por SMS ou com uma ligação telefônica. Quando escolhi o Duo Push, meu telefone tocou. Eu simplesmente toquei em Aprovar para concluir a autenticação. Agradável!
Ah, mas isso não foi o fim. Em seguida, encontrei uma página Novo aplicativo que oferecia dezenas de tipos de aplicativos: Amazon, Citrix, Juniper, Microsoft, etc. Consegui encontrar o LastPass na lista. A seleção levou-me a uma página muito longa com três itens de dados importantes na parte superior: chave de integração, chave secreta e nome do host da API.
Após esse longo desvio, retornei ao LastPass e copiei esses três itens de dados. Uau! Por fim, habilitei com êxito a autenticação Duo Push para o LastPass. E sim, autenticar com um toque é significativamente mais fácil do que correr para copiar o código de seis dígitos antes que o tempo acabe. A autenticação em um Apple Watch ou outro dispositivo vestível é ainda mais fácil, como ilustra o vídeo de 14 segundos do Duo.
No entanto, acontece que eu não estava totalmente terminado. O Duo Security apareceu uma mensagem avisando-me para configurar a autenticação de dois fatores (eu pensei que já tinha feito isso). De fato, o assistente de configuração ofereceu opções adicionais de dois fatores, incluindo autenticação de linha fixa ou um token FIDO Universal de Dois Fatores (U2F). Na conclusão, o assistente me levou a um painel impressionantemente complexo, o mesmo painel que um administrador de TI veria. Felizmente para o usuário médio, não há nada que você precise entender ou fazer com este painel. Após 30 dias, a avaliação gratuita dos recursos específicos da empresa termina, deixando um painel um pouco mais simples.
Faz o trabalho
Se você é um usuário do LastPass com um Apple Watch, deve adquirir o Duo Mobile. Imagine o frescor da autenticação tocando no seu relógio! E, é claro, se você usa o Duo Security no trabalho, já possui o aplicativo, por isso faz todo sentido usar o Duo Mobile no lugar do Google Authenticator. Eu acho que o Duo deve elaborar um processo mais fácil para os consumidores que querem apenas usar o Duo Push para LastPass sem passar pelo mesmo obstáculo que a instalação do Duo Security para uma empresa exigiria.
No entanto, se a autenticação de um toque não estiver nos cartões, acho o Twilio Authy mais conveniente. Gosto da indicação visível do tempo de vida do código atual e do fato de que você pode sincronizar sua coleção de sites seguros entre dispositivos. E, é claro, o Twilio tem uma solução de um toque em andamento. Ambos os produtos são gratuitos, para que você possa experimentar os dois, até usá-los ao mesmo tempo - o Google Authenticator também! - e ver qual prefere.
