Criada em 2019, a plataforma gov.br unificou sites e serviços do governo federal. Hoje ela é usada para diversos fins, de benefícios sociais à declaração do imposto de renda, ou seja, é um negócio importante.
As contas gov.br oferecem o segundo fator de autenticação (2FA, na sigla em inglês), uma boa prática de segurança no digital. Isso é ótimo, mas a implementação deixa bastante a desejar.
Quando criei a minha conta gov.br, apenas a opção de 2FA por notificação no aplicativo (Android, iOS) era oferecida.
Nessa implementação, ao tentar logar na conta, o aplicativo do gov.br no meu celular recebe uma notificação com a senha temporária de seis dígitos.
Em outubro, em uma conversa no Órbita, o Felipe B chamou a atenção para o suporte a aplicativos do tipo “one-time password” (OTP) no gov.br — coisas como Google Authenticator, Authy e afins.
Só é possível habilitar o 2FA via OTP — que o governo chama de “verificação em duas etapas off-line” — lendo um QR code. Por algum motivo, o sistema não gera um código como alternativa, o que é útil para dispositivos sem câmera (caso de computadores) ou celulares com a câmera danificada ou indisponível.
O maior problema vem agora: ao habilitar o aplicativo de OTP, o site do gov.br não gera códigos de backup.
Todos (ou quase todos) os sistemas compatíveis com 2FA geram códigos de backup para serem usados caso o acesso ao gerado de códigos OTP seja perdido. Veja a documentação a respeito do tema no Google, Instagram, Cloudflare…
Digamos que seu celular seja furtado ou perdido. Como logar novamente na conta gov.br? Se os códigos de backup fossem gerados no momento da configuração do 2FA por OTP, bastaria digitar um deles para entrar na conta e desativar o segundo fator de autenticação.
A ausência dos códigos de backup torna a “verificação off-line” meio inútil. Em geral, usa-se um aplicativo OTP no celular, o mesmo dispositivo em que o aplicativo do gov.br estaria instalado. Na atual implementação, as duas formas de segundo fator de autenticação têm o mesmo ponto de falha, o celular do cidadão.
Os códigos de backup seriam úteis em outras situações, como a narrada pelo Leandro Paganelli naquela conversa do Órbita que me chamou à atenção a compatibilidade com apps de OTP: viabilizar o acesso à conta após formatar o celular.
A solução que o Leandro encontrou foi excluir preenchendo um formulário escondido no site do governo.
Outra alternativa seria desativar o 2FA no celular antes da formatação, mas isso não é viável em caso de perda ou falha do aparelho.
Fonte
app para rastrear outro celular
Fonte: https://manualdousuario.net/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.