Diferentes serviços oferecem diferentes métodos de autenticação de dois fatores e, em alguns casos, você pode até escolher entre algumas opções diferentes. Veja como eles funcionam e como eles diferem.
Verificação de SMS
Isso é conveniente, pois você não precisa fazer nada especial, e a maioria das pessoas tem celulares. Alguns serviços até discarão um número de telefone e terão um sistema automatizado que fala um código, permitindo que você o use com um número de telefone fixo que não pode receber mensagens de texto.
No entanto, existem grandes problemas com a verificação por SMS. Os invasores podem usar ataques de troca de SIM para obter acesso aos seus códigos seguros ou interceptá-los, graças a falhas na rede celular. Recomendamos contra o uso de mensagens SMS, se possível. No entanto, as mensagens SMS ainda são muito mais seguras do que não usar nenhuma autenticação de dois fatores!
Códigos gerados por aplicativo (como o Google Authenticator e o Authy)
Instale o aplicativo, verifique o código ao configurar uma nova conta e esse aplicativo gerará novos códigos aproximadamente a cada 30 segundos. Você precisará inserir o código atual exibido no aplicativo em seu telefone, bem como sua senha, quando fizer login em uma conta.
Isso não exige um sinal de celular, e a "semente" que permite que o aplicativo gere esses códigos de tempo limitado é armazenada apenas no seu dispositivo. Isso significa que é muito mais seguro, pois mesmo alguém que obtiver acesso ao seu número de telefone ou interceptar suas mensagens de texto não saberá seus códigos.
Alguns serviços, por exemplo, o Autenticador Battle.net da Blizzard, também têm seus próprios aplicativos dedicados de geração de código.
Chaves de Autenticação Física
Essa solução funciona melhor do que a verificação por SMS e os códigos de uso único, porque não podem ser interceptados e confundidos. Também é mais simples e mais conveniente de usar. Por exemplo, um site de phishing pode mostrar uma página de login do Google falsa e capturar seu código de uso único quando você tentar fazer login. Eles podem usar esse código para fazer login no Google. Mas, com uma chave de autenticação física que funciona de acordo com o seu navegador, o navegador pode garantir a comunicação com o site real e o código não pode ser capturado por um invasor.
Espere ver muito mais destes no futuro.
Autenticação Baseada em Aplicativo
A verificação em duas etapas da Apple funciona de maneira semelhante, embora não use um aplicativo - ela usa o próprio sistema operacional iOS. Sempre que você tentar fazer login de um novo dispositivo, poderá receber um código de uso único enviado para um dispositivo registrado, como seu iPhone ou iPad. O aplicativo para dispositivos móveis do Twitter também tem um recurso semelhante chamado verificação de login. E o Google e a Microsoft adicionaram esse recurso aos aplicativos para smartphone Google e Microsoft Authenticator.
Sistemas Baseados em Email
Isso não é tão seguro quanto os outros métodos de verificação em duas etapas, pois pode ser fácil para alguém obter acesso à sua conta de e-mail, especialmente se você não estiver usando a verificação em duas etapas. Evite a verificação baseada em email, se você puder usar algo mais forte. (Felizmente, a Steam oferece autenticação baseada em aplicativos em seu aplicativo móvel.)
O último recurso: códigos de recuperação
Os códigos de recuperação fornecem uma rede de segurança no caso de você perder o método de autenticação de dois fatores. Quando você configura a autenticação de dois fatores, geralmente recebe códigos de recuperação que você deve anotar e armazenar em algum lugar seguro. Você precisará deles se perder o método de verificação em duas etapas.
Certifique-se de ter uma cópia dos seus códigos de recuperação em algum lugar, se você estiver usando a autenticação em duas etapas.
Você não encontrará muitas opções para cada uma das suas contas. No entanto, muitos serviços oferecem vários métodos de verificação em duas etapas que você pode escolher.
Há também a opção de usar vários métodos de autenticação de dois fatores. Por exemplo, se você configurar um aplicativo de geração de código e uma chave de segurança física, poderá obter acesso à sua conta por meio do aplicativo se perder a chave física.
