Como habilitar a autenticação de dois fatores (2FA) no cPanel?

Nossa “vida digital” cada vez mais envolve dados / informações de caráter pessoal e profissional e consequentemente situações que exigem cuidado e atenção de nossa parte.

Adotar medidas para tornar seguros tais dados em termos de acesso por parte de terceiros, é essencial.

Se você tem uma conta de hospedagem e faz uso do painel de controle cPanel, a autenticação de dois fatores (2FA) existe e deve ser usada, como instrumento essencial nessa importante missão.

Por isso, hoje vamos falar sobre sua importância, seu funcionamento e como ativar e usar essa utilíssima ferramenta.

O que é autenticação de dois fatores (2FA)?

Autenticação de dois fatores ou 2FA (2 / Two Factor Authentication), é o recurso pelo qual é exigida uma segunda comprovação de que o usuário tem privilégio de acesso ao sistema que está realizando tal verificação.

Compreender melhor o que é isso na prática, passa por esmiuçar o termo.

Autenticação é todo procedimento que visa conferir a autenticidade / originalidade / veracidade de algo e que em nosso caso, significa checar se o usuário é quem diz ser ou se ele possui os dados para acesso.

É de dois fatores, porque além da etapa mais comum ou tradicional ou o primeiro fator de autenticação, que é o fornecimento de um nome de usuário e uma senha, contém um segundo método ou fator de autenticação, diferente do primeiro, mas também baseado em uma condição a qual somente quem é realmente habilitado ao acesso, teoricamente pode comprovar.

Geralmente o segundo método envolve posse, como por exemplo:

  • Uma chave de segurança física ou por hardware e que se assemelha a um pendrive;

  • Mecanismo de autenticação biométrica (reconhecimento facial ou da íris, leitura / reconhecimento de impressão digital;

  • Aplicativo de autenticação no smartphone;

  • Recebimento de SMS;

  • Chave de autenticação impressa.

Ou seja, no caso do primeiro fator ter sido vulnerabilizado, uma segunda barreira ou camada de proteção realiza a contenção do acesso.

Diferentemente das ferramenta de fatores múltiplos de autenticação (MFA), nas quais pode haver alternativas de todos os métodos acima, além de outros, nas 2FA, apenas um dos métodos é disponível.

Por que é importante usar autenticação de dois fatores (2FA)?

É importante usar sempre que possível e disponível a autenticação de dois fatores, pois como iniciamos nosso bate-papo, cada vez mais temos dados e informações que precisam ser mantidos inacessíveis por terceiros.

No caso em particular que tratamos aqui, uma conta de hospedagem comumente pode conter bem mais do que um simples site institucional.

Ainda que seja “apenas” o site da empresa e nada mais, a partir do momento em que se conhece as possíveis ou mais frequentes ameaças, fica mais fácil compreender a importância de zelar pela segurança do ambiente.

1. Invasão de conta

Contrariamente ao mito equivocadamente popularizado pelos filmes de Hollywood, um hacker – na verdade um cracker – não passa o dia em frente ao computador tentando apenas invadir sistemas de governos, agências de inteligência, ou quem sabe de alguma multinacional para roubar um segredo que vale milhões.

Literalmente qualquer site e, portanto, a respectiva conta de hospedagem, pode servir para diversas ações, como veremos na sequência.

É comum, especialmente entre os hackers chamados de “newbies” e “lammers”, que a invasão pura e simples seja motivada para melhorar seu status perante a comunidade. Há inclusive rankings de quem consegue invadir mais sites.

Geralmente, nessas situações, o invasor realiza o que se conhece como defacement (desfiguração) e deixa a sua assinatura e que nada mais é do que o nome pelo qual ele é conhecido no “underground”. É como uma pichação virtual.

Além disso, análogo a um ladrão que entra em uma casa ou em uma empresa, ele pode até suspeitar do que pode encontrar lá para roubar, mas somente quando invade que saberá o que há e que pode ser útil.

Uma das principais vias de invasão, é pela senha.

Muita gente utiliza senhas fáceis, para que também seja fácil se lembrarem delas. Outro fato, é que também é habitual usar a mesma conta de e-mail e senha em diferentes serviços. Em situações assim, se essas informações foram descobertas por um problema de segurança ocorrido em outra plataforma, o criminoso digital terá acesso a todos os demais que compartilham desses mesmos dados.

2. Fraudes virtuais

Uma conta de hospedagem cujos dados de acesso estão disponíveis para bandidos digitais, é um prato cheio para o cometimento de uma série de fraudes virtuais:

  • Sites falsos – boa parte de sites falsos de bancos, e-commerces e outros serviços Web populares, fazem uso de contas de hospedagem invadidas;

  • Phishing – o phishing em suas mais diferentes formas, normalmente utiliza sites invadidos para hospedar os arquivos usados no golpe;

  • SPAM – o envio de SPAM, especialmente os que têm finalidade maliciosa, comumente ocorre pela instalação de scripts de envio em contas invadidas;

  • Apps – a disseminação de apps de celular maliciosos e/ou de supostos apps pagos mas que estão disponíveis gratuitamente fora da loja de aplicativos (pirataria), costuma ocorrer por meio de contas de hospedagem invadidas.

3. Ataque DDoS

Uma conta de hospedagem invadida, presta-se muito bem para hospedar os scripts usados em ataque DDoS.

4. Vazamento de dados

Como mencionamos, um cracker não sabe o que pode encontrar ao ter acesso a uma conta. Pode ser um sistema empresarial qualquer, como um CRM, ou quem sabe uma base de dados de clientes, ou dados do financeiro da empresa.

Vários tipos de dados sensíveis, estão sujeitos ao que se conhece como vazamento de dados.

Dependendo do volume e da natureza dos dados que foram acessados, eles podem ter valor e serem “negociados” na Dark Web.

5. Disseminação de malwares

Há diversas classes de malwares e que muita gente conhece popularmente apenas como “vírus de computador”.

No entanto, há malwares especializados em roubo de dados bancários (banker), identificação de dados de autenticação (usuário e senha), registro de atividades na Web, criptografia de dados de um dispositivo para extorsão mediante pagamento de resgate (ransomware) e mais uma imensa variedade.

Tudo isso precisa estar hospedado em algum lugar para download por parte das vítimas ou em outras ações para infecção de dispositivos e uma conta invadida, é ótima para tanto.

6. Acesso aos e-mails e contatos

Ter acesso aos contatos das vítimas, é bastante útil para os criminosos virtuais.

A partir da sua conta de e-mail, pode-se enviar mensagens para todos os seus contatos, como se fosse você e dando assim mais credibilidade ao golpe ou então contribuindo para disseminar um malware, por exemplo.

Portanto, existem muitas razões para alguém acessar sua conta, caso seus dados de acesso tenham sido descobertos. Logo, é essencial ter uma barreira de contenção adicional – o segundo fator de autenticação ou 2FA.

Como funciona a autenticação de dois fatores (2FA) no cPanel?

Uma vez ativada a 2FA no cPanel, toda vez que você acessá-lo, ou outro recurso seu que exija fornecer seu respectivo usuário e senha, como o webmail, por exemplo, será solicitado o segundo fator de autenticação.

No caso do cPanel, o segundo fator é fornecido por meio de aplicativo de smartphone:

  • Google Authenticator – para usuários de celulares Android;

  • Duo Mobile – para usuários iOS, mas também para Android. No caso do Android, sugerimos a ferramenta do Google;

  • Microsoft Authenticator – para usuários do Windows Phone.

Em qualquer dos casos, após informar usuário e senha costumeiramente usados, aparecerá uma nova janela na qual deve ser digitado o código numérico de 6 (seis) dígitos que é exibido no software de autenticação.

Caso já tenha o software, é porque possivelmente já o use para segunda autenticação em algum outro serviço. Nesse caso, é preciso ficar atento, pois haverá um código diferente para cada serviço.

Observe que cada app informa referente a qual serviço refere-se cada código.

Também fique atento ao tempo de expiração, pois novos códigos para cada serviço são gerados a cada 30 segundos, o que significa que se você digitar após esse intervalo de tempo desde a geração, o código aparecerá como inválido na tentativa de acesso.

Também significa que não adianta copiar ou tentar memorizar o código para um acesso futuro. Cada novo acesso, exige o acesso ao app e digitação de um novo código.

Como ativar a autenticação de dois fatores (2FA) no cPanel?

É fácil, rápido e eficiente habilitar a autenticação de dois fatores no cPanel, bastando cumprir os seguintes passos:

  1. Com o cPanel acessado, procure pelo ícone nomeado “Autenticação de dois fatores”, o qual deve estar agrupado no quadro “Segurança”;

  2. Na tela seguinte aparece o link para baixar o app corresponde ao sistema operacional do seu smartphone. Se você já o tem instalado, basta prosseguir ao passo seguinte;

  3. Há duas opções para adicionar o cPanel ao app de segundo fator:

    1. abrir o app e usar a opção de ler QR Code;

    2. abrir o app e inserir a conta e chave informados logo abaixo do QR Code.

  4. Com a leitura do QR Code ou a digitação da conta e respectiva chave, automaticamente o código númerico para acesso ao cPanel, aparecerá no app, junto aos demais que você usa em outros serviços;

  5. No cPanel, no campo existente logo abaixo da “Etapa 2”, preencha com o código gerado e clique no botão “Configurar autenticação de dois fatores”;

  6. O cPanel efetuará um logoff e será solicitado um novo login, dessa vez sendo necessário fornecer o código gerado no app.

Note que se por acaso você clicar em “Remover autenticação de dois fatores”, será necessário repetir os passos acima, porém antes convém remover do app a 2FA para o cPanel e só então prosseguir com cada etapa.

Conclusão

A autenticação de dois fatores (2FA) é uma importante ferramenta para fortalecer a segurança dos dados e recursos do serviço no qual ela é usada.

Artigos relacionados

MFA
O que é MFA? Como funciona e por que é importante?
segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})