16Jul

Por que você não deve usar SMS para autenticação de dois fatores( e o que usar em vez disso)

Os especialistas em segurança do

recomendam o uso de autenticação de dois fatores para proteger suas contas online sempre que possível. Muitos serviços são padrão para verificação de SMS, enviando códigos via mensagem de texto para o seu telefone quando você tenta fazer login. Mas as mensagens SMS têm muitos problemas de segurança e são a opção menos segura para a autenticação de dois fatores.

Primeiras coisas primeiro: o SMS ainda é melhor que nenhuma autenticação de dois fatores em tudo!

Enquanto vamos colocar o caso contra o SMS aqui, é importante primeiro deixar uma coisa clara: o uso de SMS é melhor do que não usar a autenticação de dois fatores.

Quando você não usa autenticação de dois fatores, alguém precisa apenas de sua senha para se inscrever em sua conta. Quando você usa autenticação de dois fatores com SMS, alguém precisará adquirir sua senha e obter acesso às suas mensagens de texto para obter acesso à sua conta. O SMS é muito mais seguro do que nada.

Se o SMS for sua única opção, use o SMS.No entanto, se você quiser saber por que os especialistas em segurança recomendam evitar SMS e o que recomendamos, continue lendo.

SIM Swaps permitem que os atacantes roubem seu número de telefone

Veja como a verificação de SMS funciona: quando você tenta fazer login, o serviço envia uma mensagem de texto para o número de telefone celular que você já forneceu. Você obtém esse código em seu telefone e insira-o para fazer login. Esse código é apenas bom para um único uso.

Soa razoavelmente seguro. Afinal, só você tem seu número de telefone e alguém precisa ter seu telefone para ver o código certo? Infelizmente não.

Se alguém conhece seu número de telefone e pode ter acesso a informações pessoais como os últimos quatro dígitos do seu número de segurança social - infelizmente, isso será fácil de encontrar graças às muitas corporações e agências governamentais que vazaram os dados dos clientes - eles podem entrar em contato com seutelefone e mova seu número de telefone para um novo telefone. Isso é conhecido como um "swap SIM" e é o mesmo processo que você executa quando compra um novo dispositivo e mova seu número de telefone para ele. A pessoa diz que é você, fornece os dados pessoais e sua empresa de telefonia celular configura seu telefone com seu número de telefone. Eles receberão os códigos de mensagens SMS enviados para o seu número de telefone no telefone.

Vimos relatórios sobre isso acontecendo no Reino Unido, onde os atacantes roubaram o número de telefone da vítima e o usaram para ter acesso à conta bancária da vítima. O Estado de Nova York também alertou sobre esta fraude.

No seu núcleo, este é um ataque de engenharia social que se baseia em enganar sua empresa de telefonia celular. Mas a sua empresa de telefonia celular não deve ser capaz de fornecer a alguém acesso aos seus códigos de segurança em primeiro lugar!

Mensagens SMS podem ser interceptadas de muitas maneiras

Também é possível fazer uma snoop nas mensagens SMS.Os dissidentes políticos e os jornalistas em países repressivos quererão ter cuidado, já que o governo pode seqüestrar as mensagens SMS à medida que são enviadas através da rede telefônica. Isso já aconteceu no Irã, onde os hackers iranianos supostamente comprometeram uma série de contas de mensagens do Telegram interceptando as mensagens SMS que proporcionaram acesso a essas contas.

Os atacantes também abusaram de problemas no SS7, o sistema de conexão usado para roaming, para interceptar mensagens SMS na rede e encaminhá-las para outro local. Existem muitas outras maneiras pelas quais as mensagens podem ser interceptadas, inclusive através do uso de torres falsas de telefones celulares. As mensagens SMS não foram projetadas para segurança e não devem ser usadas para isso.

Em outras palavras, um atacante sofisticado com um pouco de informação pessoal poderia seqüestrar seu número de telefone para obter acesso às suas contas on-line e depois usar essas contas para tentar drenar suas contas bancárias, por exemplo.É por isso que o Instituto Nacional de Padrões e Tecnologia já não está recomendando o uso de mensagens SMS para autenticação de dois fatores.

A alternativa: gerar códigos no seu dispositivo

Um esquema de autenticação de dois fatores que não depende do SMS é superior, porque a empresa de telefonia celular não poderá dar acesso a outros códigos. A opção mais popular para isso é um aplicativo como o Google Authenticator. No entanto, recomendamos o Authy, pois faz tudo o que o Google Authenticator faz e muito mais.

Aplicativos como este geram códigos no seu dispositivo. Mesmo que um atacante engane sua empresa de celular para mover seu número de telefone para o telefone, eles não poderiam obter seus códigos de segurança. Os dados necessários para gerar esses códigos permaneceriam seguros em seu telefone.

Você também não precisa usar códigos. Serviços como o Twitter, o Google e a Microsoft estão testando a autenticação de dois fatores baseada em aplicativos que permite que você faça login em outro dispositivo, autorizando o login em seu aplicativo em seu telefone.

Existem também fichas físicas de hardware que você pode usar. Grandes empresas como o Google e Dropbox já implementaram um novo padrão para tokens de autenticação de dois fatos baseados em hardware, denominados U2F.Todos são mais seguros do que confiar na sua empresa de telefonia celular e na rede telefônica desatualizada.

Se possível, evite SMS para autenticação de dois fatores.É melhor do que nada e parece conveniente, mas geralmente é o esquema de autenticação de dois fatos menos seguro que você pode escolher.

Infelizmente, alguns serviços o obrigam a usar SMS.Se você está preocupado com isso, você poderia criar um número de telefone do Google Voice e entregá-lo aos serviços que exigem autenticação de SMS.Você pode então entrar em sua conta do Google - o que você pode proteger com um método de autenticação de dois fatos mais seguro - e ver as mensagens seguras no site ou no aplicativo do Google Voice. Basta não encaminhar mensagens do Google Voice para o seu número de telefone celular real.