Mantenha-se atualizado com os métodos de autentificação seguro.

Medidas de segurança inconvenientes desencorajam os usuários de levar a segurança a sério. Senhas fortes são difíceis de lembrar, então as pessoas usam uma ou algumas variantes, que todos nós sabemos que torna muito mais fácil ser hackeado. A própria complexidade pode resultar em uma proteção forte, mas as melhores soluções de segurança são simples, portanto, os métodos de segurança modernos são projetados para serem mais convenientes. As hardware wallets da Trezor são um exemplo, em que a mesma segurança intuitiva usada para criptomoeda também autentica suas contas.

É um momento crítico para autenticação e até mesmo os gigantes da tecnologia soaram o alarme para neutralizar a resistência dos usuários. A fadiga da segurança deixou poucas pessoas engajadas o suficiente para acompanhar as novas ameaças, em vez de confiar em métodos desatualizados. Isso representa um grande problema quando as economias de uma vida de alguém podem ser desviadas por meio de um simples ataque de phishing.

Olhando para o Bitcoin, fica claro que a segurança é um jogo de recuperação sem solução duradoura, o que simplesmente não é suficiente quando seus ativos podem estar a um email falso de serem roubados. As senhas são uma forma eficaz de se manter seguro durante as interações digitais, mas não são avançadas o suficiente para proteger o valor digital. Bitcoin foi o primeiro ativo digital autônomo precioso o suficiente para exigir um novo meio de proteção à prova de futuro.

A comunidade precisa estabelecer expectativas mais altas, implementando mecanismos que serão suficientemente eficazes no futuro. As pessoas se acostumaram com as senhas, mas o mundo dos tokens, controles remotos, dongles e outros dispositivos físicos, como a Trezor, ainda é estranho para muitos. Mudar as expectativas das pessoas sobre como deve ser a segurança permitirá que os tokens físicos suportem o fardo de gerenciar essas demandas cada vez mais rígidas.

Por que os requisitos de segurança estão sempre mudando?

Podemos ver a autenticação SMS como um método de autenticação que antes era considerado altamente seguro, mas desde então provou ser comprometido de maneira bastante trivial por meio de ataques de troca de SIM. O número crescente de ataques a SIM mostra como ele pode ser facilmente retirado e os custos para os portadores de criptomoedas parecem muito maiores do que os relatados pelos bancos. Realizar esse ataque pode envolver a extração de informações sobre o titular do SIM por meio de engenharia social e, em seguida, usar esses detalhes para redirecionar as comunicações para o telefone do invasor, incluindo quaisquer códigos de dois fatores.

Haverá um fim para esta corrida de revezamento contínuo entre segurança e ameaças? Não se continuarmos a fazer melhorias incrementais em sistemas desatualizados, apenas ganhando mais alguns anos de cada vez. Dispositivos físicos podem fornecer verificação e proteção que evoluem sem que o usuário precise se adaptar. O próprio Bitcoin depende de seu grande volume de recursos para mantê-lo seguro, mas se os computadores quânticos se tornassem uma ameaça significativa, seriam uma das primeiras coisas a serem redesenhadas e corrigidas, com impacto mínimo no usuário.

Autenticação de dois fatores: FIDO U2F ou TOTP?

O Google Authenticator e sua alternativa popular Authy contam com um segredo compartilhado. Você digita um número, que muda após um ponto, e o outro lado confirma que eles têm o mesmo número. Se o segredo usado para gerar esse número for comprometido, um invasor também será capaz de gerá-lo e acessar suas contas. Existem várias vulnerabilidades que podem levar à exposição deste segredo:

  1. Como o número é inserido por meio de seu dispositivo, ele pode ser observado e usado para derivar o segredo.
  2. Como os segredos são compartilhados, um invasor pode hackear o banco de dados do provedor e comprometer todos os segredos dos usuários de uma vez, deixando os usuários vulneráveis ​​sem saber.
  3. O código é válido por um período longo o suficiente para que um observador (malware ou outro) possa usar um script que espera você abrir seu aplicativo e usa os códigos gerados muitas vezes em rápida sucessão.
  4. Seu segredo poderia ser exposto quando você configurá-lo e você nunca saberia. Além do mais, você precisa ser capaz de confiar que quem compartilhar o segredo também o manterá seguro.

Universal second factor (Segundo fator universal) (FIDO U2F), como Bitcoin, em vez disso, usa criptografia de chave pública para verificação em vez de depender de uma segunda parte, o que significa que ninguém além de você saberá a chave e, portanto, muitos riscos são mitigados:

  1. Sua chave nunca é enviada pela internet.
  2. Não depende do tempo, portanto, um invasor não pode reenviar o código em um ataque de repetição ou consultá-lo para engenharia reversa. Você também não precisa se apressar para inserir o código como com um TOTP.
  3. Nenhuma de suas informações pessoais é usada no gerenciamento da chave.
  4. É conveniente e rápido de usar se você mantiver o token disponível.

Como é o padrão com processos de segurança contemporâneos, a mudança de TOTP para U2F não só oferece maior segurança para suas contas, mas também torna mais fácil e rápido fazê-lo. Usando sua Trezor, você pode configurar o U2F para que sua chave fique sempre offline, enquanto permite que você se autentique com uma simples confirmação no dispositivo. Ao simplificar o processo, você tem a garantia de maior segurança e privacidade com menos esforço – é assim que a segurança contemporânea deve ser.

A próxima grande coisa: FIDO2

O login sem senha é um desenvolvimento interessante, pois muitas empresas começam a procurar abordagens de confiança zero para proteger seus ativos. FIDO2 é a alternativa mais promissora, aprimorando o FIDO U2F, enquanto ainda funciona de forma muito semelhante ao sistema de emparelhamento de chave pública-privada do Bitcoin. Não apenas torna impossível para os invasores comprometerem seu autenticador sem ter o token físico em suas mãos, mas também são mostradas informações mais úteis para verificar a solicitação.

A vantagem de exibir credenciais na tela é clara quando comparada ao FIDO U2F, que mostra uma string hash sem sentido para qualquer conexão não rastreada em uma lista, sem fornecer informações sobre o que está sendo assinado. FIDO2 foi feito para mostrar essas informações em uma tela, um recurso implementado apenas pelo Trezor Modelo T. Usando um Modelo T, é mostrado exatamente a qual host você está se conectando e qual identidade está autenticando, antes de confirmá-los diretamente no touchscreen, tornando-o o primeiro dispositivo FIDO2 a oferecer suporte a esta grande melhoria.

Vídeo em inglês, ative as legendas. Clique em Detalhes/Legendas/Traduzir automaticamente e escolha o seu idioma.

A FIDO2 promete um caminho fácil para a adoção de um modelo onipresente de confiança zero, onde os indivíduos gerenciam sua própria autenticação, independentemente de serem funcionários, contratados ou simplesmente usuários. O que falta, porém, é o apoio de empresas e serviços. As senhas ainda são o padrão, e a higienização das senhas costuma ser atroz. Mesmo se você tentar usar senhas de 32 caracteres de alta entropia, muitos sites o impedirão de fazer isso porque seus bancos de dados limitam o comprimento dos caracteres a um número muito menor.

Atualmente, você só poderá usar o FIDO2 em alguns sites, o que é um problema. Concedido, é uma tecnologia mais recente lançada em março de 2019, mas uma adoção maior será difícil sem uma mudança na forma como todos abordam a segurança cibernética. Cabe às empresas fazer com que o público entenda que o processo mudou e um novo padrão surgiu. Leia nosso anúncio para saber como a SatoshiLabs implementou o FIDO2 na Trezor Model T e como ele funciona para torná-lo mais seguro online.

Escolher o autenticador certo, lhe protegerá contra phishing

A autorização de SIM e o TOTP têm vetores de ataque diferentes, mas falhas em seu design os tornam vulneráveis ​​a phishing. Se você usar TOTP em vez de FIDO U2F, seu segredo compartilhado pode vazar se a segunda parte (como o Google) estiver comprometido ou pode ser recuperado por qualquer invasor que tenha coletado informações suficientes sobre você. Quando você pensa na enorme quantidade de dados aos quais o Google pode ter acesso direto, por exemplo, é claramente uma má prática agrupá-los com um segredo que permite que qualquer invasor use esses dados como desejar.

Ambos FIDO U2F e FIDO2 são suportados pela Trezor Model T e podem limitar o efeito do phishing, mantendo seus segredos offline e não duplicados em nenhum outro sistema. Se o próprio token físico estiver comprometido, várias verificações serão feitas para evitar que ele seja usado, como o PIN e a passphrase que protege a Trezor. Isso significa que, mesmo em caso de phishing, o invasor não pode fazer nada sem o dispositivo em suas mãos e, mesmo assim, terá que extrair um segredo de você diretamente. Contanto que você certifique-se de não usar um PIN ou passphrase muito fraca e nunca tenha escrito ou digitado em qualquer lugar, seu token está seguro. Ele pode até ser recuperado usando uma semente de recuperação, como uma carteira Bitcoin, para que você possa alterar seu token mesmo se o dispositivo for perdido ou roubado.

Bitcoin levou a uma segurança mais robusta

A Trezor One foi único porque foi o primeiro dispositivo a resolver a questão da proteção da moeda digital; o Modelo T é único como uma solução ideal para todos os segredos digitais. Bitcoin surgiu como um novo tipo de ativo que existe exclusivamente online, catalisando a demanda por segurança mais fácil e eficaz, onde os indivíduos controlam seus próprios dados em todos os níveis. As mesmas ferramentas que podem proteger a riqueza digital devem ser usadas para proteger o resto do nosso ecossistema online.

A segurança deve ser homogeneizada para conveniência, mas de código aberto para transparência. O Bitcoin lidera, graças aos esforços colaborativos para tornar as defesas mais robustas e corrigir vulnerabilidades com soluções que qualquer pessoa pode adotar. As instituições com segurança notoriamente desatualizada podem até mesmo optar por implementar os designs abertos da Trezor de sua própria maneira e dar a seus clientes o controle direto sobre suas chaves. Todos devem ser encorajados a pensar a longo prazo e compreender as razões para novas abordagens, como tokens FIDO2, para garantir um futuro mais confortável.

fonte: blog.trezor.io

VOCÊ AINDA GUARDA SUAS CHAVES DE RECUPERAÇÃO EM UM PAPEL?

Um pedaço de papel tem um tempo de vida curto e está propício as intempéries da natureza. Além disso, já pensou se um desavisado da sua família – que não sabe do que se trata – vê um pedaço de papel repleto de palavras sem sentido e joga no lixo? Afinal, para quem não vive no mundo das criptomoedas, não faz sentido algum encontrar um pedaço de papel com palavras aleatórias anotadas.

Compre já sua KriptoSteel com preço especial de Lançamento, clicando aqui.

-38%
Novidade
R$619,00
-40%
Lançamento
R$1.449,00
-31%
R$619,00
-38%
Novidade
R$619,00
-50%
R$299,00
-33%
Fora de estoque
-41%
Lançamento
-50%
Lançamento
-50%
R$49,80