Pagina inicial » como » Por que você não deve usar o SMS para autenticação de dois fatores (e o que usar em vez disso)

    Por que você não deve usar o SMS para autenticação de dois fatores (e o que usar em vez disso)

    Os especialistas em segurança recomendam o uso da autenticação de dois fatores para proteger suas contas on-line sempre que possível. Muitos serviços padrão para a verificação de SMS, enviando códigos via mensagem de texto para o seu telefone quando você tenta entrar. Mas as mensagens SMS têm um monte de problemas de segurança e são a opção menos segura para a autenticação de dois fatores.

    Primeiras coisas primeiro: o SMS ainda é melhor do que nenhuma autenticação de dois fatores!

    Enquanto vamos apresentar o caso contra o SMS aqui, é importante primeiro esclarecer uma coisa: usar o SMS é melhor do que não usar a autenticação de dois fatores.

    Quando você não usa a autenticação de dois fatores, alguém só precisa da sua senha para fazer login na sua conta. Quando você usa a autenticação de dois fatores com o SMS, alguém precisará adquirir sua senha e obter acesso às suas mensagens de texto para obter acesso à sua conta. SMS é muito mais seguro do que nada.

    Se o SMS for sua única opção, use o SMS. No entanto, se você quiser saber por que os especialistas em segurança recomendam evitar o SMS e, em vez disso, o que recomendamos, leia.

    Troca de SIM permite que os invasores roubem seu número de telefone

    Veja como a verificação de SMS funciona: quando você tenta fazer login, o serviço envia uma mensagem de texto para o número de telefone celular fornecido anteriormente. Você obtém esse código no seu telefone e insere-o para fazer login. Esse código só é bom para um único uso.

    Parece razoavelmente seguro. Afinal, só você tem seu número de telefone e alguém tem que ter seu celular para ver o código certo? Infelizmente não.

    Se alguém souber o seu número de telefone e conseguir acesso a informações pessoais como os quatro últimos dígitos do seu número de seguro social - infelizmente, isso é fácil de encontrar graças às muitas empresas e agências governamentais que vazaram dados de clientes - eles podem entrar em contato com o telefone empresa e mova o seu número de telefone para um novo telefone. Isso é conhecido como "troca de SIM" e é o mesmo processo que você executa quando compra um novo dispositivo e transfere seu número de telefone para ele. A pessoa diz que é você, fornece os dados pessoais e sua empresa de telefonia celular configura o telefone com o número do telefone. Eles receberão os códigos de mensagem SMS enviados para o seu número de telefone no telefone.

    Vimos relatos disso acontecendo no Reino Unido, onde invasores roubaram o número de telefone da vítima e o usaram para obter acesso à conta bancária da vítima. Estado de Nova York também alertou sobre esse golpe.

    Em essência, esse é um ataque de engenharia social que depende de enganar sua empresa de telefonia celular. Mas a sua empresa de telefonia celular não deveria ser capaz de fornecer a alguém acesso aos seus códigos de segurança em primeiro lugar!

    Mensagens SMS podem ser interceptadas de várias maneiras

    Também é possível espionar mensagens SMS. Dissidentes políticos e jornalistas em países repressivos vão querer ser cuidadosos, já que o governo poderia roubar mensagens SMS quando forem enviadas pela rede telefônica. Isso já aconteceu no Irã, onde hackers iranianos supostamente comprometeram uma série de contas de mensagens do Telegram interceptando as mensagens SMS que forneciam acesso a essas contas..

    Os atacantes também abusaram de problemas no SS7, o sistema de conexão usado para roaming, para interceptar mensagens SMS na rede e encaminhá-las para outro lugar. Há muitas outras maneiras pelas quais as mensagens podem ser interceptadas, inclusive através do uso de torres falsas de telefone celular. As mensagens SMS não foram projetadas para segurança e não devem ser usadas para isso.

    Em outras palavras, um invasor sofisticado com um pouco de informação pessoal poderia seqüestrar seu número de telefone para obter acesso às suas contas online e, em seguida, usar essas contas para tentar drenar suas contas bancárias, por exemplo. É por isso que o Instituto Nacional de Padrões e Tecnologia não está mais recomendando o uso de mensagens SMS para autenticação de dois fatores.

    A alternativa: gerar códigos no seu dispositivo

    Um esquema de autenticação de dois fatores que não depende do SMS é superior, porque a empresa de telefonia celular não poderá conceder a outra pessoa acesso aos seus códigos. A opção mais popular para isso é um aplicativo como o Google Authenticator. No entanto, recomendamos o Authy, pois faz tudo que o Google Authenticator faz e mais.

    Aplicativos como este geram códigos no seu dispositivo. Mesmo que um invasor tenha enganado sua empresa de telefonia celular a transferir seu número de telefone para o telefone, ele não conseguiria seus códigos de segurança. Os dados necessários para gerar esses códigos permanecerão em segurança no seu telefone.

     

    Você não precisa usar códigos também. Serviços como o Twitter, o Google e a Microsoft estão testando a autenticação de dois fatores baseada em aplicativo que permite que você faça login em outro dispositivo autorizando o login em seu aplicativo em seu telefone.

    Há também tokens de hardware físico que você pode usar. Grandes empresas como Google e Dropbox já implementaram um novo padrão para tokens de autenticação de dois fatores baseados em hardware chamado U2F. Tudo isso é mais seguro do que confiar em sua empresa de telefonia celular e na rede telefônica desatualizada.

    Se possível, evite o SMS para autenticação de dois fatores. É melhor que nada e parece conveniente, mas geralmente é o esquema de autenticação de dois fatores menos seguro que você pode escolher.

    Infelizmente, alguns serviços obrigam você a usar o SMS. Se estiver preocupado com isso, você pode criar um número de telefone do Google Voice e fornecê-lo a serviços que exijam autenticação por SMS. Você pode fazer login na sua conta do Google, que pode ser protegida com um método de autenticação de dois fatores mais seguro, e ver as mensagens seguras no site ou no aplicativo do Google Voice. Apenas não encaminhe mensagens do Google Voice para o número real do seu celular.