Na busca pela segurança perfeita, o perfeito é inimigo do bom. As pessoas estão criticando a autenticação de dois fatores baseada em SMS na sequência do hack do Reddit , mas usar a autenticação de dois fatores baseada em SMS ainda é muito melhor do que não usar a autenticação de dois fatores.
Índice
Mais de 90% dos usuários do Gmail não usam a autenticação de dois fatores
Os profissionais de segurança que falam que a verificação de SMS não é boa o suficiente estão se adiantando demais. Mais de 90% dos usuários do Gmail não estão usando autenticação de dois fatores, de acordo com uma apresentação que o engenheiro do Google Grzegorz Milka fez no USENIX Enigma 2018. A primeira coisa que a maioria das pessoas pode fazer para se proteger online é habilitar qualquer tipo de autenticação de dois fatores para suas contas importantes.
Pense assim. Digamos que você queira colocar uma fechadura na porta da frente para proteger sua casa. Os profissionais de segurança argumentam que o melhor tipo de bloqueio disponível é muito melhor do que os mais baratos. Claro, faz sentido. Mas se aquela fechadura mais cara não está disponível para você, ter uma fechadura mais barata não é ainda melhor do que não ter fechadura?
Sim, a autenticação de dois fatores baseada em aplicativo é melhor do que a autenticação baseada em SMS. Mas, se SMS é tudo o que um serviço oferece, ainda é melhor do que não usá-lo.
Dois fatores baseados em SMS têm alguns pontos fracos, mas isso está perdendo o ponto. Um invasor terá que gastar tempo ignorando sua verificação de SMS. E a maioria dos alvos provavelmente não vale tanto esforço.
Por que você precisa da autenticação de dois fatores
A autenticação de dois fatores é chamada assim porque requer que você tenha duas coisas para entrar em sua conta: algo que você conhece (sua senha) e algo que você possui (um código de segurança adicional de seu dispositivo móvel ou um token físico).
Quando você ativa a autenticação de dois fatores baseada em SMS, o serviço enviará ao seu número de telefone celular uma mensagem de texto contendo um código único sempre que você entrar em um novo dispositivo. Portanto, mesmo se alguém tiver seu nome de usuário e senha para essa conta, essa pessoa não poderá entrar em sua conta sem acessar suas mensagens de texto.
Existem também outros tipos de métodos de dois fatores , incluindo aplicativos em seu telefone que geram códigos de segurança temporários e chaves físicas de segurança que você deve conectar ao computador.
Qualquer tipo de autenticação de dois fatores fornece uma grande proteção para contas importantes, como e-mail, mídia social e contas bancárias. Isso é especialmente verdadeiro se você reutilizar senhas. Muitas pessoas reutilizam senhas em vários sites e, quando o banco de dados de senha de um site vaza, essa senha pode ser usada para fazer login em suas contas de e-mail . A autenticação de dois fatores impediria isso de imediato.
Isso não significa que você deve reutilizar as senhas. Você não deve reutilizar senhas. Você deve usar um bom gerenciador de senhas para controlar as senhas fortes e exclusivas.
Por que as pessoas dizem que a autenticação SMS é ruim?
A autenticação de dois fatores baseada em SMS não é considerada ideal porque alguém pode roubar seu número de telefone ou interceptar suas mensagens de texto. Por exemplo:
- Um invasor pode se passar por você e mover seu número de telefone para um novo telefone em um esquema de portabilidade de número de telefone . Este é o ataque mais provável.
- Um invasor pode interceptar mensagens SMS destinadas a você. Por exemplo, eles podem falsificar uma torre de celular perto de você ou um governo pode usar seu acesso à rede de celular para encaminhar mensagens.
É por isso que os especialistas recomendam usar outro método de dois fatores, um que não pode ser tão facilmente abusado por países e não é vulnerável se sua operadora de celular fornecer seu número de telefone para outra pessoa. Se você obtiver o código de um aplicativo em seu telefone ou de uma chave de segurança física que você conecta, seu fator duplo não é vulnerável a problemas com a rede telefônica. O invasor precisará do seu telefone desbloqueado ou da chave de segurança física que você tem para fazer login.
Claro, em um mundo perfeito, SMS não é a solução ideal. Explicamos por que os especialistas em segurança não gostam da autenticação em duas etapas baseada em SMS . Mas, mesmo quando apresentamos esse caso, tentamos deixar uma coisa clara: a autenticação de dois fatores baseada em SMS é muito, muito melhor do que nada.
Algumas pessoas precisam de mais segurança do que o fornecido por SMS
A pessoa comum está bem com a autenticação baseada em SMS por enquanto. A autenticação baseada em SMS faz com que os invasores tenham muitos problemas extras para entrar em sua conta, e provavelmente você não vale a pena quando há outros alvos mais fáceis e interessantes por aí. A maioria das pessoas nem mesmo usa a autenticação SMS, e a web seria um lugar muito mais seguro se todos o fizessem.
Pessoas que provavelmente serão alvo de invasores sofisticados devem evitar a autenticação baseada em SMS. Por exemplo, se você é um político, jornalista, celebridade ou líder empresarial, pode ser o alvo. Se você é uma pessoa com acesso a dados corporativos confidenciais, um administrador de sistema com amplo acesso a sistemas confidenciais ou apenas alguém com muito dinheiro no banco, o SMS pode ser muito arriscado.
Mas, se você é a pessoa comum com uma conta do Gmail ou do Facebook e ninguém tem motivos para gastar muito tempo obtendo acesso às suas contas, a autenticação de SMS é adequada e você deve absolutamente habilitá-la ao invés de usar nada.
Você é tão seguro quanto o elo mais fraco
Aqui está outra verdade infeliz que todo mundo parece ignorar: mesmo que você evite a autenticação de dois fatores baseada em SMS para uma conta, o SMS provavelmente está disponível como um método de fallback. Por exemplo, mesmo se você gerar códigos com um aplicativo para fazer login em sua conta do Google, poderá recuperar sua conta usando seu número de telefone. Isso serve para protegê-lo caso perca o acesso ao seu telefone ou token de dois fatores .
Em outras palavras, muitos – provavelmente até mesmo a maioria – dos serviços permitem que você entre em sua conta com seu número de telefone, mesmo se você usar um código gerado pelo aplicativo ou uma chave de segurança física na maioria das vezes. Você está tão seguro quanto o elo mais fraco do sistema. Tente verificar as outras maneiras de fazer login, caso não tenha o método normal.
É por isso que, para realmente bloquear uma conta do Google, você não precisa apenas evitar a autenticação em duas etapas baseada em SMS. Você também precisa se inscrever no Programa de Proteção Avançada do Google , que é o anúncio do Google para “jornalistas, ativistas, líderes empresariais e equipes de campanha política”. Este programa gratuito requer que você use uma chave de segurança física para entrar, mas também exige muito mais informações para recuperar sua conta.
Use SMS se você não estiver usando 2FA agora
Não queremos enganá-lo com uma falsa sensação de segurança: se você é alguém que provavelmente será alvo de governos estrangeiros, espiões corporativos ou criminosos organizados, deve evitar a autenticação de dois fatores baseada em SMS e bloquear o seu contas com algo mais seguro.
Mas, se você for a pessoa comum que ainda não habilitou a autenticação de dois fatores, não desanime: os dois fatores baseados em SMS o tornarão muito mais seguro do que nenhum fator duplo. É uma base importante para a segurança.
Todos devem usar a verificação por SMS, a menos que estejam usando algo melhor.
Crédito de imagem: golubovystock /Shutterstock.com.
