Como melhorar a autenticação em dois fatores, mesmo se tiver o celular roubado

Quando uma rede social sofre algum tipo de ataque ou contas de usuários acabam sendo o alvo de hackers invasores, geralmente a primeira resposta das empresas é pedir que os usuários ativem a autenticação em dois fatores (Two Factor Authentication, ou simplesmente “2FA”). Trata-se de uma medida que adiciona uma camada extra de segurança ao enviar para o sistema de mensagens de texto do seu celular um código exclusivo de acesso à uma conta, justamente para impedir que outras pessoas possam abrir o que é seu. O próprio Instagrampassou a oferecer recentemente a opção da 2FA para proteger seus usuários.

A vantagem é que ela serve para uma gama de possibilidades: não apenas para defender suas contas em redes sociais, mas também caixas de entrada de seus e-mails, marketplaces virtuais para compra de apps e até alguns serviços bancários trazem a 2FA como medida de segurança. Mas e se o seu smartphone for roubado? Convenhamos, os dispositivos móveis são, em si, um chamariz muito comum para a ação de bandidos e, se a 2FA depende da presença de um telefone celular, isso não invalidaria todo esse trabalho?

A resposta é “não”. Independente do que aconteça com o seu smartphone, adicionar medidas protetivas às suas contas sempre é uma atitude coerente se você ambiciona se manter um passo à frente de pessoas maliciosas, que planejam roubar seus dados para fins nada louváveis. A boa notícia é que, mesmo diante de um smartphone roubado, a 2FA pode ser amplamente reforçada com algumas ações bem simples.

Entendendo a 2FA

Em primeiro lugar, é importante conhecer o processo da 2FA: de uma maneira resumida, o que ela faz é adicionar um número de telefone celular à condição de login de alguma conta — qualquer conta — antes de acessá-la ou de fazer nela alguma alteração de segurança. Ao adicionar tal número, o usuário não consegue logar-se apenas com nome de usuário e senha: ao inserir essas informações, um prompt do sistema da rede que se tenta acessar envia ao número de celular cadastrado um código alfanumérico exclusivo, que deve ser inserido para, só então, o login ser liberado.

De fato, é um “trabalho a mais” que fica ao encargo do usuário e, vale dizer, utilizar dessa medida é opcional. Para todos os efeitos, os métodos mais antigos de login (inserir apenas usuário e senha) ainda valem. Mas não seriam esses segundos extras de trabalho um valor módico a se pagar por uma camada a mais de proteção?

A maioria das aplicações oferecem a opção de ativar a segurança em dois fatores diretamente de seus apps, pelo próprio smartphone, como é o caso do Instagram (ela está dentro do menu de segurança, nas configurações da conta). Já outras, como o Gmail, requerem que a ativação seja feita via desktop ou navegador móvel. Aqui no Canaltech, nós já falamos sobre como ativar a 2FA no passado.

Mas me roubaram! E agora, como fico?

Aqui é onde entram as nossas dicas do dia: a 2FA usa seu sistema de SMS para enviar o código de acesso. Ainda que seu aparelho esteja travado, este sistema pode se sobrepor nas notificações, exibindo o conteúdo da mensagem mesmo na tela bloqueada. Nas mãos de um ladrão, isso é, obviamente, um risco.

Neste caso, a solução mais simples é barrar a prévia de conteúdo do SMS. Isso é algo bem fácil de fazer, independente de você ser usuário de um sistema iOS ou Android. Então, para isso, siga os seguintes passos:

No iOS:

• Abra a guia “Ajustes”;
• Vá para “Notificações”;
• Clique na opção “Pré-visualizações” no topo da tela se quiser desabilitar todas as notificações da tela de bloqueio de uma vez só.
• Selecione “Quando desbloqueado” (para que a prévia da mensagem apareça somente com o smartphone aberto) ou “Nunca” (para que o conteúdo da mensagem só seja visto quando você abrir o app correspondente).

No Android:

• Abra o menu “Configurações”;
• Vá para “Apps e notificações”, depois “Notificações”;
• Escolha a opção “Na tela de bloqueio”;
• Defina “Não exibir notificações” (para que a aplicação não mande nenhuma notificação) ou “Ocultar conteúdo” (para que a prévia não seja exibida).

Com essas medidas simples, você já reforça a segurança trazida pela 2FA. O bom é que, mesmo que seu celular não tenha sido roubado mas, digamos, você esteja com ele em um ambiente lotado, isso evita a ação de bisbilhoteiros que podem estar de olho na sua tela sem você perceber. Contudo, isso não ajuda muito se quem o roubou tiver um mínimo de conhecimento técnico e, digamos, remova o seu chip e o use em outro smartphone, com configurações diferentes das suas.

Mas a boa notícia é que, para isso, também há como se prevenir.

O ladrão tirou meu chip! O que eu faço?

Remover a prévia de notificações já é uma bela ajuda para aprimorar a segurança em dois fatores das suas contas e recursos online no smartphone. Mas tais configurações são atreladas ao sistema, ou seja, elas mudam de aparelho para aparelho. Em outras palavras, se o seu chip (cartão SIM) for inserido em outro smartphone — e isso é bem fácil de fazer —, as notificações obedecerão às configurações deste “novo” aparelho e não necessariamente do seu. Neste caso, a solução é configurar o seu próprio chip; mas calma, é mais fácil do que parece.

A fim de proteger também o seu chip, é necessário que você adicione um código de quatro dígitos (PIN) a ele. Desta forma, esse código será exigido sempre que o cartão SIM for inserido em outro aparelho, condicionando o seu funcionamento a mais uma camada de segurança: sem o código, o cartão SIM não é ativado; sem ativação, o aparelho não recebe mensagens nem ligações.

Novamente, as opções variam dependendo de você ser um usuário de Android ou iOS, então as duas seguem abaixo:

Inserindo o PIN no cartão SIM pelo iOS:

• Vá para “Ajustes”;
• Role a tela até ver a opção “Telefone” e clique nela;
• Clique em “SIM PIN” e habilite essa opção;
• Insira seu PIN atual. Se não tiver definido um, use o código padrão definido pela operadora – você pode encontrá-lo no kit inicial do seu SIM;
• Clique em “Alterar PIN” e crie um código seu, fora do padrão;
• Insira seu novo PIN;
• Depois disso insira mais uma vez o seu novo código PIN e repita para confirmar

Inserindo o PIN no cartão SIM pelo Android:

• Abra o menu “Configurações” e vá para a opção “Segurança e Localização”;
• Selecione “Bloqueio do SIM” e “Bloquear cartão SIM”;
• Quando solicitado, insira o PIN do SIM. Se não tiver definido um, encontre o PIN padrão nos documentos do seu cartão;
• Escolha “Alterar PIN do SIM”;
• Insira o PIN antigo;
• Insira o novo PIN (e de novo para confirmar)

Fazendo isso, o seu chip também estará protegido, efetivamente tornando a segurança das suas contas mais robusta não apenas por uma autenticação em dois fatores via SMS no seu celular, mas também impedindo que outras pessoas possam ver essas mensagens. É um passo a mais que você pode tomar para que proteja seus dados.

*No caso de aparelhos Android, os nomes de menus e opções podem aparecer diferentes, haja vista de eles serem criados pelas inúmeras fabricantes que usam o sistema operacional da Google.