Na busca pela segurança perfeita, o perfeito é inimigo do bom. As pessoas estão criticando a autenticação de dois fatores baseada em SMS na sequência do hack do Reddit , mas usar a autenticação de dois fatores baseada em SMS ainda é muito melhor do que não usar a autenticação de dois fatores.
Índice
Mais de 90% dos utilizadores do Gmail não usam a autenticação de dois fatores
Os profissionais de segurança que falam que a verificação de SMS não é boa o suficiente estão se adiantando demais. Mais de 90% dos utilizadores do Gmail não estão usando autenticação de dois fatores, de acordo com uma apresentação que o engenheiro do Google Grzegorz Milka fez no USENIX Enigma 2018. A primeira coisa que a maioria das pessoas pode fazer para se proteger online é habilitar qualquer tipo de autenticação de dois fatores para suas contas importantes.
Pense assim. Digamos que tu queira colocar uma fechadura na porta da frente para proteger sua casa. Os profissionais de segurança argumentam que o melhor tipo de bloqueio disponível é muito melhor do que os mais baratos. Claro, faz sentido. Mas se aquela fechadura mais cara não está disponível para tu, ter uma fechadura mais barata não é ainda melhor do que não ter fechadura?
Sim, a autenticação de dois fatores baseada em aplicação é melhor do que a autenticação baseada em SMS. Mas, se SMS é tudo o que um serviço oferece, ainda é melhor do que não usá-lo.
Dois fatores baseados em SMS têm alguns pontos fracos, mas isto está perdendo o ponto. Um invasor terá que gastar tempo ignorando sua verificação de SMS. E a maioria dos alvos provavelmente não vale tanto esforço.
Por que tu precisa da autenticação de dois fatores
A autenticação de dois fatores é chamada assim porque requer que tu tenha duas coisas para entrar em sua conta: algo que tu conhece (sua palavra-passe) e algo que tu possui (um código de segurança adicional de seu dispositivo móvel ou um token físico).
Quando tu ativa a autenticação de dois fatores baseada em SMS, o serviço enviará ao seu número de telefone telemóvel uma mensagem de texto contendo um código único sempre que tu entrar em um novo dispositivo. Portanto, mesmo se alguém tiver seu nome de utilizador e palavra-passe para esta conta, esta pessoa não poderá entrar em sua conta sem acessar suas mensagens de texto.
Existem também outros tipos de métodos de dois fatores , incluindo aplicações em seu telefone que geram códigos de segurança temporários e chaves físicas de segurança que tu deve conectar ao computador.
Qualquer tipo de autenticação de dois fatores fornece uma grande proteção para contas importantes, como e-mail, mídia social e contas bancárias. isto é especialmente verdadeiro se tu reutilizar palavras-passe. Muitas pessoas reutilizam palavras-passe em vários sites e, quando o banco de dados de palavra-passe de um site vaza, esta palavra-passe pode ser usada para fazer login em suas contas de e-mail . A autenticação de dois fatores impediria isto de imediato.
isto não significa que tu deve reutilizar as palavras-passe. tu não deve reutilizar palavras-passe. tu deve usar um bom gerenciador de palavras-passe para controlar as palavras-passe fortes e exclusivas.
Por que as pessoas dizem que a autenticação SMS é ruim?
A autenticação de dois fatores baseada em SMS não é considerada ideal porque alguém pode roubar seu número de telefone ou interceptar suas mensagens de texto. Por exemplo:
- Um invasor pode se passar por tu e mover seu número de telefone para um novo telefone em um esquema de portabilidade de número de telefone . Este é o ataque mais provável.
- Um invasor pode interceptar mensagens SMS destinadas a tu. Por exemplo, eles podem falsificar uma torre de telemóvel perto de tu ou um governo pode usar seu acesso à rede de telemóvel para encaminhar mensagens.
É por isto que os especialistas recomendam usar outro método de dois fatores, um que não pode ser tão facilmente abusado por países e não é vulnerável se sua operadora de telemóvel fornecer seu número de telefone para outra pessoa. Se tu obtiver o código de um aplicação em seu telefone ou de uma chave de segurança física que tu conecta, seu fator duplo não é vulnerável a problemas com a rede telefônica. O invasor precisará do seu telefone desbloqueado ou da chave de segurança física que tu tem para fazer login.
Claro, em um mundo perfeito, SMS não é a solução ideal. Explicamos por que os especialistas em segurança não gostam da autenticação em duas etapas baseada em SMS . Mas, mesmo quando apresentamos este caso, tentamos deixar uma coisa clara: a autenticação de dois fatores baseada em SMS é muito, muito melhor do que nada.
Algumas pessoas precisam de mais segurança do que o fornecido por SMS
A pessoa comum está bem com a autenticação baseada em SMS por enquanto. A autenticação baseada em SMS faz com que os invasores tenham muitos problemas extras para entrar em sua conta, e provavelmente tu não vale a pena quando há outros alvos mais fáceis e interessantes por aí. A maioria das pessoas nem mesmo usa a autenticação SMS, e a web seria um lugar muito mais seguro se todos o fizessem.
Pessoas que provavelmente serão alvo de invasores sofisticados devem evitar a autenticação baseada em SMS. Por exemplo, se tu é um político, jornalista, celebridade ou líder empresarial, pode ser o alvo. Se tu é uma pessoa com acesso a dados corporativos confidenciais, um administrador de sistema com amplo acesso a sistemas confidenciais ou apenas alguém com muito dinheiro no banco, o SMS pode ser muito arriscado.
Mas, se tu é a pessoa comum com uma conta do Gmail ou do Facebook e ninguém tem motivos para gastar muito tempo obtendo acesso às suas contas, a autenticação de SMS é adequada e tu deve absolutamente habilitá-la ao invés de usar nada.
tu é tão seguro quanto o elo mais fraco
Aqui está outra verdade infeliz que todo mundo parece ignorar: mesmo que tu evite a autenticação de dois fatores baseada em SMS para uma conta, o SMS provavelmente está disponível como um método de fallback. Por exemplo, mesmo se tu gerar códigos com um aplicação para fazer login em sua conta do Google, poderá recuperar sua conta usando seu número de telefone. isto serve para protegê-lo caso perca o acesso ao seu telefone ou token de dois fatores .
Em outras palavras, muitos – provavelmente até mesmo a maioria – dos serviços permitem que tu entre em sua conta com seu número de telefone, mesmo se tu usar um código gerado pelo aplicação ou uma chave de segurança física na maioria das vezes. tu está tão seguro quanto o elo mais fraco do sistema. Tente verificar as outras maneiras de fazer login, caso não tenha o método normal.
É por isto que, para realmente bloquear uma conta do Google, tu não precisa apenas evitar a autenticação em duas etapas baseada em SMS. tu também precisa se inscrever no Programa de Proteção Avançada do Google , que é o anúncio do Google para “jornalistas, ativistas, líderes empresariais e equipes de campanha política”. Este programa gratuito requer que tu use uma chave de segurança física para entrar, mas também exige muito mais informações para recuperar sua conta.
Use SMS se tu não estiver usando 2FA agora
Não queremos enganá-lo com uma falsa sensação de segurança: se tu é alguém que provavelmente será alvo de governos estrangeiros, espiões corporativos ou criminosos organizados, deve evitar a autenticação de dois fatores baseada em SMS e bloquear o seu contas com algo mais seguro.
Mas, se tu for a pessoa comum que ainda não habilitou a autenticação de dois fatores, não desanime: os dois fatores baseados em SMS o tornarão muito mais seguro do que nenhum fator duplo. É uma base importante para a segurança.
Todos devem usar a verificação por SMS, a menos que estejam usando algo melhor.
Crédito de imagem: golubovystock /Shutterstock.com.
