O fim do Clef, 2FA e o Bitcoin

Se tem uma coisa que mexer com Bitcoin reforçou em mim, foi a minha preocupação com segurança digital. Tanto da nossa vida está digitalizado e online hoje, que uma falha de segurança pode ter conseqüências gravíssimas.

Por exemplo, hoje em dia, sempre que possível, eu uso, além de login com nome de usuário ou senha, um segundo fator de autenticação, ou 2FA. Pode ser o token estilo chaveiro dos bancos, um TOTP como o Goolge Authenticator ou o Authy ou o Clef. Mas fujo como o diabo foge da cruz de 2FA via SMS.

O Clef ficou muito popular no meio Bitcoin pelo apoio que eles deram para várias startups de Bitcoin e pela ligação deles com a tecnologia. Chegou até a ser chamado de o Bitcoin do 2FA. Funciona assim:

Como Clef funciona

Há muitos sites de Bitcoin que usam:

Sites de Bitcoin que usam Clef

O login no Bitfinex, por exemplo, pode ser feito com Clef:

Logando na Bitfinex com Clef

Só que o Clef vai parar de funcionar em 3 meses!

Eles anunciaram que se juntarão a outra empresa, sem dar mais detalhes. Isso quer dizer que a startup foi adquirida por uma empresa maior, os investidores provavelmente estão contentes e o fundadores, ricos. Os usuários ficaram na mão.

Mais de um milhão de sites de WordPress usam o Clef como segundo fator de autenticação. E, como vimos acima, uma série de outros sites comerciais, inclusive de Bitcoin, servem centenas de milhares ou milhões de usuários com esse tipo de segurança reforçada.

Se, em até 3 meses, os usuários desses sites não mudarem do Clef para outro 2FA, a segurança de cada um desses usuários será comprometida. Um serviço que você usava e que achava que tinha duas “fechaduras” contra hackers, terá só uma. E será muito mais facilmente abusada. Pessoas perderão dinheiro ou, no mínimo, suas informações privadas.

Como se proteger

Se você usa Clef, mude para outro tipo de autenticação. De preferência, FIDO, baseada em um token físico, como a Trezor, Ledger Nano ou Yubikey. Em segundo lugar ficam os aplicativos tipo Authy ou Google Authenticator. Se puder evitar, NUNCA use autenticação via SMS. Se não houver alternativa, SMS ainda é melhor do que nada.

De uma maneira mais geral, vale a pena buscar serviços descentralizados para tudo o que for vital para nós. Sempre estaremos à mercê desse tipo de ocorrência quando confiamos em um serviço privado, online e centralizado.

Como aprender mais

Esse é o tipo de assunto que discutirei com novos e experientes usuários de Bitcoin e outras criptomoedas no meu próximo curso “Práticas de segurança para Bitcoin e criptomoedas” na Blockchain Academy, no dia 21 de março de 2017.

Inscreva-se: Curso Práticas de Segurança em Bitcoin e Criptomoedas

Agora que temos o poder de ter um banco em nossos bolsos, temos também a responsabilidade de nos proteger melhor contra hackers ou perda de dados. Falaremos sobre tipos de ataques, tipos de defesas, segurança digital, carteiras online, instaláveis, “cold”, de papel, hardware, Cryptosteel, OpenDime, Trezor, Ledger, senhas, gerenciadores de senhas, 2FA, TOTP, FIDO, testamento e bom senso de uma maneira geral. Muita informação importante, às vezes um pouco técnica, mas muitas dicas práticas, que testaremos na hora.

Espero ver muitos de vocês lá!

Links úteis

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *