Por que você não deve usar SMS para autenticação de dois fatores (e o que usar em vez disso)

Os especialistas em segurança recomendam o uso de autenticação de dois fatores para proteger suas contas online sempre que possível. Muitos serviços são padronizados para verificação por SMS, enviando códigos por mensagem de texto para o seu telefone quando você tenta fazer login. Mas as mensagens de SMS têm muitos problemas de segurança e são a opção menos segura para autenticação de dois fatores.

As primeiras coisas primeiro: SMS ainda é melhor do que nenhuma autenticação de dois fatores!

Enquanto vamos apresentar o caso contra o SMS aqui, é importante primeiro deixarmos uma coisa clara: usar SMS é melhor do que não usar autenticação de dois fatores.

Quando você não usa a autenticação de dois fatores, alguém só precisa da sua senha para fazer login na sua conta. Ao usar a autenticação de dois fatores com SMS, alguém precisará adquirir sua senha e obter acesso às mensagens de texto para obter acesso à sua conta. O SMS é muito mais seguro do que nada.

Se o SMS for sua única opção, use o SMS. No entanto, se você quiser saber por que os especialistas em segurança recomendam evitar SMS e o que recomendamos, continue lendo.

Trocas de SIM permitem que invasores roubem seu número de telefone

Veja como funciona a verificação por SMS: Quando você tenta fazer login, o serviço envia uma mensagem de texto para o número de telefone celular que você forneceu anteriormente. Você obtém esse código em seu telefone e o digita para fazer login. Esse código só é válido para um único uso.

Recomendado:  O que há de novo no Chrome 97, já disponível

Parece razoavelmente seguro. Afinal, só você tem seu número de telefone e alguém precisa de seu telefone para ver o código – certo? Infelizmente não.

Se alguém souber seu número de telefone e puder obter acesso a informações pessoais, como os últimos quatro dígitos do seu número de previdência social – infelizmente, isso será fácil de encontrar graças às muitas empresas e agências governamentais que vazaram dados de clientes – eles podem entrar em contato com seu telefone empresa e mude seu número de telefone para um novo telefone. Isso é conhecido como “ troca de SIM “ e é o mesmo processo que você executa quando adquire um novo dispositivo e move seu número de telefone para ele. A pessoa diz que é você, fornece os dados pessoais e sua operadora de celular configura o telefone com o seu número de telefone. Eles receberão os códigos de mensagem SMS enviados para seu número de telefone em seus telefones.

Vimos relatos sobre isso acontecendo no Reino Unido , onde invasores roubaram o número de telefone de uma vítima e o usaram para obter acesso à conta bancária da vítima. O estado de Nova York também  alertou sobre esse golpe.

Em sua essência, este é um ataque de engenharia social que se baseia em enganar sua empresa de telefonia celular. Mas sua operadora de celular não deveria ser capaz de fornecer a alguém acesso aos seus códigos de segurança em primeiro lugar!

Mensagens SMS podem ser interceptadas de várias maneiras

Também é possível espionar mensagens SMS. Dissidentes políticos e jornalistas em países repressivos devem ter cuidado, pois o governo pode sequestrar mensagens SMS à medida que são enviadas pela rede telefônica. Isso já aconteceu no Irã , onde hackers iranianos supostamente comprometeram várias contas de mensageiros do Telegram ao interceptar as mensagens SMS que forneciam acesso a essas contas.

Recomendado:  Como tornar o alternador de aplicativos Alt + Tab do Windows 10 mais transparente

Os invasores também abusaram de problemas no SS7 , o sistema de conexão usado para roaming, para interceptar mensagens SMS na rede e encaminhá-las para outro lugar. As mensagens podem ser interceptadas de muitas outras maneiras, inclusive por meio do uso de torres de telefones celulares falsas. As mensagens SMS não foram projetadas para segurança e não devem ser usadas para isso.

Em outras palavras, um invasor sofisticado com um pouco de informação pessoal poderia sequestrar seu número de telefone para obter acesso às suas contas online e, em seguida, usar essas contas para tentar drenar suas contas bancárias, por exemplo. É por isso que o Instituto Nacional de Padrões e Tecnologia não recomenda mais o uso de mensagens SMS para autenticação de dois fatores.

A alternativa: gerar códigos em seu dispositivo

Um esquema de autenticação de dois fatores que não depende de SMS é superior, porque a operadora de celular não poderá dar a outra pessoa acesso aos seus códigos. A opção mais popular para isso é um aplicativo como o Google Authenticator . No entanto, recomendamos o Authy , pois ele faz tudo o que o Google Authenticator faz e muito mais.

Aplicativos como este geram códigos em seu dispositivo. Mesmo se um invasor enganasse sua operadora de celular para mover seu número de telefone para o telefone dela, ele não conseguiria obter seus códigos de segurança. Os dados necessários para gerar esses códigos permaneceriam seguros em seu telefone.

 

Você também não precisa usar códigos. Serviços como Twitter, Google e Microsoft estão testando a autenticação de dois fatores baseada em aplicativo que permite que você entre em outro dispositivo, autorizando a entrada em seu aplicativo no telefone.

Recomendado:  Como criar e editar listas usando Cortana (e sincronizá-las com o Wunderlist)

Existem também tokens físicos de hardware que você pode usar. Grandes empresas como Google e Dropbox já implementaram  um novo padrão para tokens de autenticação de dois fatores baseados em hardware denominado U2F . Tudo isso é mais seguro do que confiar na sua operadora de celular e na rede de telefonia desatualizada.

Se possível, evite SMS para autenticação de dois fatores. É melhor do que nada e parece conveniente, mas geralmente é o esquema de autenticação de dois fatores menos seguro que você pode escolher.

Infelizmente, alguns serviços obrigam você a usar SMS. Se você está preocupado com isso, pode criar um número de telefone do Google Voice e fornecê-lo a serviços que exigem autenticação por SMS. Você pode então fazer login em sua conta do Google – que pode ser protegida com um método de autenticação de dois fatores mais seguro – e ver as mensagens seguras no site ou aplicativo do Google Voice. Só não encaminhe mensagens do Google Voice para o seu número de telefone celular real.