Autenticação de dois fatores (2FA) ou multi fatores (MFA) vem antes mesmo das senhas quando se trata de segurança.
O funcionamento é simples: em tendo acesso à senha de um serviço, é necessário uma segunda "senha".
Para todos serviços que forem essenciais para você, habilite esta segunda etapa de autenticação. Ela é tão importante, que alguns serviços já te obrigam a usar - o token do seu banco é uma forma de 2FA, já que só a senha não é suficiente para fazer todas operações que exigem autenticação.
Existe um balanço entre segurança e praticidade. É possível cercar de segurança a ponto de tornar o serviço inutilizável, então é preciso bom senso. No caso do 2FA, não é necessário em tudo: um site que você só entra para postar mensagens mas não faz nenhuma compra raramente vai precisar de 2FA comparado a um site onde o usuário autenticado pode fazer transações.
Use o bom senso para decidir; e use também um gerenciador de senhas para proteger as senhas (mais em outro tutorial)
Tipos de 2FA/MFASMS: Um dos mais comuns. Infelizmente o sistema de SMS é falho; a comunicação SMS não é criptografada e pode ser interceptada; além do mais, com seu número, telefone e CPF (coisas que pode ser encontrado em vazamentos de dados ilegais pela internet) pode ser possível até mesmo cancelar/transferir o número para outro aparelho. Parece coisa de filme mas ao mesmo tempo é um ataque comum, então melhor não usar 2FA se for para usar um sistema antigo e que tenha um operador humano da empresa de telefone como ponto vulnerável. Outro problema é não poder fazer backup - se acontece algo com seu chip/aparelho, ficará sem poder validar os logins até conseguir recuperar o número. Se for obrigado pelo serviço a usar 2FA por SMS, ok; mas se tiver escolha, opte por outro método.
How to protect yourself from a SIM-swap attackApp Authenticador:
App que vai ler o código gerado pelo site/serviço e fornecer um código gerado a cada 30 segundos - parecido com o token de alguns bancos. A tecnologia por trás é o TOTP (Time-Based One Time Password). Qualquer app que implemente esta tecnologia serve; no entanto algumas ressalvas:
1 - preferir serviços que permitam backup, seja exportando em arquivo (criptografado) as senhas salvas; seja sincronizando com servidor de terceiros
2 - Preferir serviços de código aberto, pois tem transparêcnia e geralmente os apps tem como única função gerar a senha. Apps de big techs costumam ter trackers, metadados e serviços de terceiros o que pode introduzir vulnerabilidades desconhecidas. É só pesquisar:
open source 2fa app - Google SearchSugestão: Aegis + exportar as senhas em arquivo criptografado, função que tem no próprio app, para backup
3 - Em escolhendo usar um app autenticador das big tech Microsoft, Google, terá que achar outra maneira de ter 2FA habilitado na conta destas - não faz sentido precisar acessar um serviço para poder obter a senha para acessar esse serviço :)
Outros tipos: FIDO/Security keys, Universal Second Factor, etc.
Em suma:
No mínimo você deve proteger sua conta de email que usa para acessar/recuperar senha de outros serviços. Se usa android, proteger a conta do gmail. Se usa IOS, proteger o iCloud. Se usa rede sociais, proteger elas, principalmente Whatsapp que basta clonar o celular. Proteger o gerador de senhas.
O restante pode, por enquanto, ser opcional caso use um gerenciador de senhas
