Com o início do novo ano, você pode estar tentando construir hábitos melhores. Uma coisa que vale a pena é atualizar a maneira como você faz login em suas contas. As chaves de acesso não são novas, mas talvez você não esteja familiarizado com esta nova opção para fazer login nas contas mais importantes. Eles estão disponíveis para tudo, desde contas bancárias até aplicativos do dia a dia, e adicionam uma nova camada de segurança ao login que mantém você protegido contra criminosos cibernéticos. Com uma chave de acesso, contas de phishing, violações e até mesmo palpites de sorte tornam-se coisas do passado.
Não perca nenhum de nossos conteúdos técnicos imparciais e análises baseadas em laboratório. Adicionar CNET como fonte preferencial do Google.
Chaves de acesso explicadas em linguagem simples
As chaves de acesso parecem mais um termo técnico que você deveria fingir que entende, mas a ideia é bastante clara quando você elimina o jargão. Em vez de digitar uma senha, você tem um par de chaves digitais que precisam corresponder para fazer login – a chave pública do serviço e sua chave secreta. Seu dispositivo – como seu telefone ou laptop computer – usa uma chave criptográfica integrada para garantir você. Você o desbloqueia com seu rosto, sua impressão digital ou um PIN. Chega de digitar ou adivinhar qual é sua senha.
Sua chave privada permanece no seu dispositivo e nunca é enviada para lugar nenhum. O serviço armazena apenas a chave pública, que não pode ser transformada em login. Se um website for violado, os invasores sairão com uma pilha de chaves públicas que não abrem nada. O pânico routine em relação a senhas roubadas simplesmente não se aplica aqui.
As chaves de acesso já funcionam no iOS, AndroidHome windows, macOS e todos os principais navegadores. Eles também podem sincronizar através Aplicativo de senhas da Apple, Gerenciador de senhas do Googlecontas da Microsoft e de terceiros gerenciadores de senhas como 1Password, para que você possa usá-los em seus dispositivos sem qualquer configuração additional.
Eles também param tentativas de phishing por design. Uma chave de acesso só funciona no website ou aplicativo legítimo para o qual foi criada. Se você acessar uma página de login falsa, o dispositivo não oferecerá a chave de acesso.
Comece primeiro com os logins que protegem seu dinheiro
Muitos aplicativos, incluindo o Robinhood, permitem criar chaves de acesso em vez de senhas, para maior segurança.
Suas contas financeiras devem ser as primeiras a receber uma atualização de chave de acesso antes do ano novo. Esses logins movimentam dinheiro, aprovam transferências e abrem portas para contas às quais você realmente não deseja que outra pessoa tenha acesso. Se você não atualizar mais nada antes do ano novo, atualize-os.
Muitas instituições financeiras já estão migrando para chaves de acesso ou Autenticação estilo FIDOmesmo que eles realmente não o anunciem. Os sistemas do tipo Mastercard e BankID demonstraram que os serviços financeiros podem mudar para uma autenticação mais forte e resistente ao phishing em segundo plano, sem exigir que os utilizadores aprendam nada de novo.
Os aplicativos bancários e de investimento que oferecem suporte a chaves de acesso geralmente colocam a opção nas configurações de segurança ou de login. Procure itens rotulados como chave de acesso, login baseado em dispositivo, chave de segurança FIDO e similares. Quando o aplicativo solicitar que você crie uma chave de acesso, siga as etapas e aprove-a com o Face ID, sua impressão digital ou PIN.
Novamente, nem todos oferecem esse serviço ainda. Apenas a maioria. Eu uso a Navy Federal Credit score Union e, infelizmente, atualmente não oferece suporte a senha, apenas login biométrico native. A principal diferença é que uma chave de acesso usa um par de chaves criptográficas e dados biométricos são usados para verificação de identidade. Você pode desbloquear uma chave de acesso usando dados biométricos.
Bloqueie sua identidade principal, e-mail e logins de grandes plataformas
Seu e-mail principal e suas contas Apple, Google e Microsoft também merecem atenção o quanto antes. Quem entrar nisso pode redefinir metade da sua vida digital sem suar muito. Se você está construindo uma primeira onda de contas para proteger depois de suas contas financeiras, estas são as únicas para começar.
O Google já trata as chaves de acesso como o caminho padrão para contas pessoais. Abra as configurações da sua Conta do Google, selecione Segurança e login e selecione Senhas e chaves de segurança para se preparar.
Você pode criar e gerenciar chaves de acesso em sua conta do Google.
A Microsoft está caminhando na mesma direção. A empresa está eliminando gradualmente o armazenamento de senhas no Authenticator e incentivando as pessoas a fazer logins mais fortes. Vá para a página de segurança da sua conta da Microsoft, selecione Segurança e selecione Gerenciar como eu faço login. A partir daí, selecione Use uma chave de acesso para expandir uma lista de opções. Você pode se preparar aqui.
O Home windows permite usar chaves de acesso para aumentar a segurança.
Para a Apple, as chaves de acesso parecem ser criadas automaticamente agora. Além disso, ao acessar um website que oferece suporte a chaves de acesso, você pode habilitá-las ao fazer login ou, se já tiver uma conta, pode alterar as configurações na página de configurações da conta. As chaves de acesso serão armazenadas no aplicativo Senhas.
Novamente, sua prioridade deve começar com as contas de e-mail vinculadas a serviços bancários, declarações de impostos e compras. Depois de bloqueadas com chaves de acesso, o restante das suas contas será muito mais difícil de ser sequestrado por alguém.
Proteja seus arquivos, armazenamento em nuvem, fotos e backups
Armazenamento em nuvem e as bibliotecas de fotos pertencem à próxima rodada de atualizações. Essas contas tendem a conter informações confidenciais – varreduras de identidades, formulários fiscais, contratos, fotos pessoais – que podem se tornar um grande problema se ocorrer uma violação. É todo materials que pode ser usado para fraude ou vantagem caso alguém entre. Trate-os como as lojas sensíveis que são.
Google Drive e o OneDrive dependem das configurações principais da sua conta do Google ou da Microsoft, para que a correção seja simples. Abra a seção de segurança da página da sua conta e habilite as chaves de acesso, caso ainda não o tenha feito. A Apple lida com o iCloud da mesma maneira.
Lembre-se de que as chaves de acesso são mais fortes quando o próprio dispositivo é seguro. Ative a criptografia do dispositivo, defina um bloqueio de tela e evite deixar esses dispositivos desbloqueados.
Proteja o cofre que protege todo o resto
Os gerenciadores de senhas não armazenam mais apenas o estoque de 50 logins que você possui. A maioria deles agora funciona como gerenciadores de senhas, e muitos gerenciadores de senhas permitem que você bloqueie o próprio cofre com uma chave de acesso. Trancar o cofre com uma chave de acesso é uma das atualizações mais inteligentes que você pode fazer. Se alguém não conseguir entrar no gerenciador de senhas, não poderá entrar em nenhuma das contas armazenadas no gerenciador de senhas (pelo menos não através do cofre).
Gerenciadores de senhas como 1Password e Bitwarden já estão armazenando chaves de acesso baseadas em FIDO e participando do trabalho mais recente de troca de credenciais que permite que as pessoas movam chaves de acesso entre serviços sem começar do zero. A indústria está lentamente dando mais controle às pessoas, em vez de prender tudo dentro de um ecossistema. Finalmente.
Sempre que seus aplicativos de segurança oferecerem uma chave de acesso ou login baseado em {hardware}, ative-os. Isso se aplica ao seu gerenciador de senhas, sua VPNseu aplicativo antivírus e o monitoramento de identidade serviço que você está usando. Essas contas são a proteção e não devem depender de uma senha que possa ser adivinhada.
Enquanto estiver no cofre, faça uma pequena limpeza de remaining de ano. Limpe a camada fóssil de entradas antigas que você não usa mais e pense em fechar contas que ainda não conseguem lidar com a autenticação moderna. Afinal, cada conta morta é outra ponta solta esperando para ser retirada.
Ganhos de bônus: compras, compartilhamento de viagens e assinaturas
As chaves de acesso já estão sendo usadas em grande escala nos serviços que a maioria das pessoas usa todas as semanas. Relatórios do eBay taxas de sucesso de login mais altas e menor risco de phishing após expandir o suporte de senha. O Uber tem direcionado as pessoas para as chaves de acesso pelo mesmo motivo. Quando empresas com milhões de logins por dia dizem que funciona, vale a pena prestar atenção.
Este é o ponto onde você começa a proteger as contas que administram seu dinheiro e seus hábitos. Contas de compras como Amazon, eBay e grandes aplicativos de varejo armazenam números de cartão, endereços salvos e histórico de pedidos. Os aplicativos de pagamento retêm ainda mais. Eles não devem ficar com autenticação fraca quando uma opção mais forte está no menu de configurações.
Compartilhar passeio e aplicativos de entrega de comida têm seus próprios riscos. Eles mantêm histórico de localização, locais de retirada, endereços residenciais e comerciais e dados de pagamento. Muitos desses serviços estão lançando logins baseados em senha, portanto, verifique suas páginas de segurança ou de conta e ative-as, se estiverem lá.
Uma maneira simples de se manter organizado no início é observar os cinco aplicativos que você mais usa no seu telefone. Abra cada um, verifique as configurações de segurança e ative as chaves de acesso, se houver opção. É uma rápida passagem pelas contas das quais você depende diariamente e fecha muitos pontos de entrada fáceis.
Mitos e preocupações que você pode ignorar com segurança
Grande parte da ansiedade em torno das chaves de acesso vem de ideias que não correspondem ao modo como o sistema realmente funciona. Uma é a alegação de que as chaves de acesso ficam na nuvem em texto simples. Eles não. A sincronização usa criptografia de ponta a ponta, o que significa que a chave privada nunca sai do seu dispositivo em um formato legível. Apple, Google, Microsoft e todos os outros não conseguem ver isso. O que é armazenado em seus servidores não pode ser usado para fazer login em nada.
Outra preocupação é ficar preso num ecossistema, mas a indústria está a mover-se no sentido contrário. FIDO está construindo padrões de troca de credenciais para permitir que as pessoas movam chaves de acesso entre provedores, e gerenciadores terceirizados como 1Password e Bitwarden já oferecem suporte ao armazenamento de chaves de acesso entre plataformas. Então as paredes estão caindo, não subindo.
Há também a ideia de que as chaves de acesso só fazem sentido para configurações puras de nuvem ou de fornecedores únicos. Na realidade, eles são executados em ambientes mistos em sistemas locais e na nuvem e são tratados como resistentes ao phishing pela Microsoft e pelas agências de segurança nacionais. Esta é uma tecnologia de nível de produção, não um programa piloto.
Finalmente, e a grande questão com a qual as pessoas parecem estar preocupadas é que perder um telefone não significa perder o controle de suas contas. As chaves de acesso no dispositivo exigem seus dados biométricos ou o PIN do dispositivo para funcionar, portanto, são inúteis para quem pega o dispositivo. A recuperação segue os mesmos métodos que você já deveria usar para contas Apple, Google ou Microsoft. Códigos de recuperação, um segundo dispositivo ou um contato confiável permitem que você volte sem começar de novo.
Como mudar em um fim de semana
Não, você não precisa de uma revisão técnica ou de uma semana de folga do trabalho para mudar para uma configuração de chave de acesso. Você deve ser capaz de bloquear as contas que realmente importam em um único fim de semana. O truque é seguir uma ordem clara e criar caminhos de backup suficientes para nunca se isolar.
Esta lista de verificação mantém tudo fundamentado e gerenciável, sem transformá-lo em um projeto que você abandona no meio do caminho. Vamos começar!
Etapa 1: liste suas contas prioritárias
- Contas bancárias e de investimento
- E-mail principal
- Contas Apple, Google e Microsoft
- Armazenamento em nuvem e serviços de fotos
- Gerenciador de senhas
- Aplicativos de compras, assinatura, compartilhamento de viagens e entrega
Etapa 2: reúna suas contas
- Reserve uma hora focada.
- Faça uma lista das contas que você realmente usa.
- Abra cada serviço e vá direto para a página de configurações de segurança ou login. Você pode verificar a documentação oficial de cada serviço para ver se as chaves de acesso são suportadas.
Etapa 3: ativar as chaves de acesso onde quer que elas morem
- Procure por chave de acesso, chave de segurança ou login baseado em dispositivo.
- Registre seu telefone ou computador quando for solicitado.
- Adicione um segundo dispositivo se o serviço permitir – telefone e laptop computer ou telefone e chave de {hardware}.
Etapa 4: mantenha um caminho de backup
- Deixe um método de recuperação sem senha ativo enquanto você se instala.
- Use códigos de recuperação, um segundo e-mail ou um dispositivo confiável.
- Verifique se você ainda pode entrar na conta se um dispositivo desaparecer.
Etapa 5: limpe métodos e contas antigas
- Remova a autenticação de dois fatores baseada em SMS somente quando o provedor confirmar que sua conta está totalmente coberta.
- Exclua todos os métodos de login e contas restantes que você não precisa mais.
Percorra esta lista uma vez e você terá a maioria de suas contas de alto risco protegidas por uma autenticação mais forte e estabelecerá uma base estável para o resto.
