Dúvidas conceituais
O que é autenticação em duas etapas (2FA)?
A autenticação em duas etapas (2FA), originária do inglês "two-factor authentication", também conhecida como verificação em duas etapas ou autenticação de dois fatores é uma camada extra de proteção ativada em contas de serviços online, que requer uma segunda verificação de identidade do(a) usuário(a) no momento do acesso.
Qual a importância da 2FA?
A autenticação em duas etapas (2FA) é vital para proteger dados online. Ela adiciona uma camada extra de segurança, dificultando invasões, sendo essencial para ambientes digitais mais seguros.
Onde posso usar a 2FA?
A autenticação em duas etapas está disponível para diversos serviços online, como bancos, sítios eletrônicos de compras on-line (Amazon, PayPal, Google Play), serviços de e-mail (Gmail, Microsoft, Yahoo, Outlook), redes sociais (Facebook, Instagram, Linkedin, Tumblr, Twitter, Snapchat, etc.), entre outros.
A autenticação em duas etapas (2FA) é segura?
Sim, a 2FA é segura. Essa medida de segurança adiciona uma camada extra de segurança, dificultando significativamente o acesso não autorizado à sua conta, mesmo que tenham conhecimento da senha.
A autenticação em duas etapas (2FA) é a prova de falhas?
Não, a 2FA é eficaz para reforçar a segurança de contas online, mas nenhum sistema é completamente à prova de falhas. Sua eficácia depende, em parte, da implementação correta e do cuidado do(a) usuário(a) ao gerenciar suas credenciais.
Existem níveis de segurança para o uso da 2FA?
Sim, existem diferentes níveis de segurança associados ao uso da autenticação em duas etapas (2FA). A eficácia da 2FA pode variar dependendo dos métodos escolhidos. Nível Baixo de Segurança: Verificação por SMS ou Chamada Telefônica. Nível Intermediário de Segurança: Solicitações do Google ou Autenticação Push. Nível Alto de Segurança: Aplicativos Autenticadores (Google Authenticator, etc.). Segurança Adicional: Chaves de Segurança Físicas (tokens USB ou NFC).
Quais métodos de 2FA o Poder Judiciário do Estado do Maranhão (PJMA) utiliza?
Verificação por SMS ou Chamada Telefônica, Aplicativos Autenticadores (utilizando o Google Authenticator), Códigos de Backup e Solicitações do Google.
Qual é o método de autenticação mais indicado para utilizar no Poder Judiciário do Estado do Maranhão (PJMA)?
O método mais indicado é o Google Authenticator, proporcionando segurança adicional ao gerar códigos temporários para proteger o acesso ao e-mail corporativo e ao sistema SENTINELA.
Todos(as) do PJMA devem habilitar a 2FA?
Sim, é crucial que todos(as) os(as) usuários(as), incluindo unidades administrativas e judiciais, habilitem a 2FA no e-mail corporativo e no sistema SENTINELA.
Dúvidas do método “Verificação por SMS ou Chamada Telefônica”
Por que a “verificação por SMS ou chamada telefônica” é considerada um método menos seguro para autenticação em duas etapas (2FA)?
A “verificação por SMS ou chamada telefônica” é classificada como um método de Nível Baixo de Segurança devido a vulnerabilidades específicas. Esse método é suscetível à exploração por invasores habilidosos, tornando-o menos seguro.
Quais são as vulnerabilidades associadas à “verificação por SMS”?
a) Ataques de troca de SIM: Invasores podem transferir seu número de telefone para outro cartão SIM, assumindo o controle das mensagens SMS.
b) Phishing ou Smishing: Ataques de phishing podem levar à divulgação involuntária de códigos por SMS.
c) Interceptação de mensagens: A possibilidade de interceptação de mensagens SMS, especialmente em redes sem fio não seguras.
Por que a “verificação por chamada telefônica” também pode ser vulnerável?
a) Reprodução de voz: Alguns ataques podem envolver a gravação e reprodução de uma voz autorizada para enganar o sistema.
b) Interceptação de chamadas: Similar à interceptação de mensagens, chamadas telefônicas também podem ser interceptadas.
É recomendável evitar o uso da verificação por SMS ou chamada telefônica?
Sim, este método deve ser utilizado apenas como a primeira etapa da autenticação em duas etapas. Recomenda-se migrar para o Google Authenticator posteriormente, pois é o método padrão do TJMA e que oferece maior segurança.
O que fazer se eu for vítima de um ataque relacionado à “verificação por SMS ou chamada telefônica”?
Se você enfrentar problemas de segurança após utilizar a “verificação por SMS ou chamada telefônica”, especialmente se tiver ignorado o método seguro de autenticação recomendado neste manual, e suspeitar de atividades maliciosas em sua conta, entre em contato imediatamente com a Coordenação de Atendimento ao Usuário (CAU). Não ignore os métodos seguros recomendados inicialmente. Além disso, é crucial atualizar suas configurações de segurança imediatamente e priorizar a migração para métodos mais seguros, como autenticadores de aplicativos, a exemplo do Google Authenticator.
Quais alternativas mais seguras à verificação por SMS ou chamada telefônica?
Para uma autenticação mais segura, o uso do Google Authenticator é altamente recomendado. Ele oferece uma segurança robusta e é o padrão adotado pelo Tribunal de Justiça do Estado do Maranhão.
Dúvidas do método “Google Authenticator”
O que é Google Authenticator e por que devo utilizá-lo?
O Google Authenticator é um aplicativo de autenticação em duas etapas (2FA) que gera códigos temporários e aleatórios, complementando a senha para acessar uma conta. Esse é o método recomendado pela DIA para acessar o e-mail corporativo e o sistema SENTINELA.
Como configurar o Google Authenticator em minha conta de e-mail corporativo?
Baixe e instale o Google Authenticator na loja de aplicativos do seu dispositivo (smartphone) móvel e siga os passos detalhados no tópico 3 deste manual.
Como configurar o Google Authenticator no sistema SENTINELA?
Baixe e instale o Google Authenticator na loja de aplicativos do seu dispositivo (smartphone) móvel e siga os passos detalhados no tópico 6 deste manual.
Posso usar o Google Authenticator em vários dispositivos (smartphones)?
O Google Authenticator está vinculado ao dispositivo em que foi inicialmente configurado. Para utilizá-lo em vários dispositivos, é necessário configurá-lo individualmente em cada um, seguindo as orientações detalhadas no item 3.3 deste manual.
O que fazer se eu perder meu dispositivo (smartphone) com o Google Authenticator?
Em caso de perda do dispositivo com o Google Authenticator, é recomendável utilizar os códigos de backup salvos, armazenados em um local seguro. Além disso, registre um boletim de ocorrência imediatamente e comunique a Diretoria de Informática e Automação (DIA) para proceder com a desvinculação do dispositivo e outras providências.
Como obtenho códigos de backup da minha conta corporativa?
Para obter os códigos de backup, siga os passos detalhados no tópico 5 deste manual. Guarde esses códigos em um local seguro, pois eles podem ser usados em caso de perda do dispositivo.
Os códigos do Google Authenticator expiram?
Sim, os códigos gerados pelo Google Authenticator são temporários e têm um tempo de validade curto, geralmente em torno de 30 segundos. Após esse período, um novo código é gerado.
Posso usar o Google Authenticator em serviços além do Google?
Sim, muitos serviços online oferecem suporte ao Google Authenticator para 2FA. Você pode configurá-lo em várias contas, como redes sociais, serviços de e-mail e outros que adotam esse método de segurança.
Posso desativar a autenticação em duas etapas (2FA) se decidir não usá-la mais?
Sim, em muitos serviços, é possível desativar a autenticação em duas etapas. No entanto, é altamente recomendável manter essa camada de segurança ativada para garantir a integridade da sua conta. A desativação pode comprometer a segurança do acesso ao seu e-mail corporativo ou ao sistema SENTINELA. Caso seja necessário, verifique neste manual como reativar a 2FA.
Dúvidas do método “Solicitações do Google”
Por que a verificação por “Solicitações do Google” é considerada um método de Nível Intermediário de Segurança?
A verificação por “Solicitações do Google”, que envolve o envio de notificações para dispositivos conectados, é considerada um método de Nível Intermediário de segurança devido a certas vulnerabilidades e riscos associados.
Quais são as vulnerabilidades potenciais da verificação por “Solicitação do Google”?
a) Phishing de solicitação: pessoas podem criar solicitações falsas para enganar os(as) usuários(as), levando-os a aprovar a autenticação sem intenção.
b) Acesso não autorizado a dispositivos conectados: Se um dispositivo estiver desprotegido, alguém com acesso físico a esse dispositivo pode aprovar solicitações fraudulentas.
Como a autenticação “Solicitações do Google” funciona?
A autenticação por “Solicitações do Google” envia uma notificação para um dispositivo previamente autenticado, solicitando a aprovação da tentativa de login. O(A) usuário(a) precisa confirmar a autenticação através do dispositivo conectado.
O que os(as) usuários(as) devem considerar ao optar pela verificação por “Solicitações do Google”?
a) Segurança do dispositivo conectado: Garantir que os dispositivos conectados estejam seguros e protegidos contra acesso não autorizado.
b) Consciência de solicitações suspeitas: Estar atento a solicitações inesperadas ou suspeitas para evitar a aprovação involuntária.
Como reforçar a segurança ao usar a verificação por “Solicitações do Google”?
a) Ativar PIN ou autenticação biométrica: Reforçar a segurança do dispositivo conectado com PINs ou autenticação biométrica.
b) Configurar notificações seguras: Certificar-se de que as notificações do Google sejam enviadas de maneira segura e autenticada.
O que fazer se eu suspeitar de uma solicitação fraudulenta ou de atividade suspeita na verificação por “Solicitações do Google”?
Se suspeitar de atividades suspeitas, recuse a aprovação da solicitação seguindo as instruções no aplicativo. Além disso, troque imediatamente sua senha para garantir a segurança da sua conta. Entre em contato imediatamente com a Coordenação de Atendimento ao Usuário (CAU) para relatar a suspeita e obter assistência