Mercado fechado
  • BOVESPA

    109.717,94
    -517,82 (-0,47%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.460,55
    +652,34 (+1,36%)
     
  • PETROLEO CRU

    93,98
    -0,36 (-0,38%)
     
  • OURO

    1.803,10
    -4,10 (-0,23%)
     
  • BTC-USD

    23.945,42
    +42,29 (+0,18%)
     
  • CMC Crypto 200

    573,13
    -1,61 (-0,28%)
     
  • S&P500

    4.207,27
    -2,97 (-0,07%)
     
  • DOW JONES

    33.336,67
    +27,16 (+0,08%)
     
  • FTSE

    7.465,91
    -41,20 (-0,55%)
     
  • HANG SENG

    20.082,43
    +471,59 (+2,40%)
     
  • NIKKEI

    27.819,33
    -180,63 (-0,65%)
     
  • NASDAQ

    13.328,75
    +17,50 (+0,13%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,3237
    0,0000 (0,00%)
     

É seguro usar SMS para fazer autenticação de dois fatores?

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Os sistemas de autenticação em duas etapas (2FA, na sigla em inglês) são uma importante e essencial adição a qualquer perfil, desde contas em e-mails e redes sociais até sistemas bancários ou plataformas de e-commerce. O protocolo exige um segundo código, além do e-mail e da senha, que é normalmente enviado ao celular do usuário como forma de garantir que é ele próprio quem está efetuando o login — sendo assim, o uso de mensagens de texto acaba sendo um caminho.

Esta, porém, não é a via mais segura para fazer isso, pelo contrário. Seja pela falta de zelo das plataformas digitais com os códigos numéricos ou pela possibilidade de interceptação e clonagem, a utilização do SMS para verificação em duas etapas não é mais uma recomendação de especialistas, com direito a pedidos até da Microsoft para que as pessoas parem de usar esse método.

Porque usar SMS para autenticação em duas etapas não é seguro?

<em>Clonagem de chips e redirecionamento de chamadas ou mensagens de texto tornam inseguro os métodos de receber códigos de verificação em duas etapas por SMS ou ligação (Imagem: Divulgação/Motorola)</em>
Clonagem de chips e redirecionamento de chamadas ou mensagens de texto tornam inseguro os métodos de receber códigos de verificação em duas etapas por SMS ou ligação (Imagem: Divulgação/Motorola)

A falta de criptografia na comunicação por mensagens de texto é apenas um dos motivos que respondem essa pergunta. Usar esse formato, claro, é melhor do que nada, mas os SMSs estão sujeitos a interceptação caso um criminoso seja capaz de clonar o chip do seu celular, por exemplo — ligações telefônicas também são uma opção disponível em muitas plataformas online, pouco segura pelos mesmos motivos.

Ataques avançados detectados recentemente por especialistas em segurança provaram que o redirecionamento de chamadas pode ser usado para roubar contas e desviar o destino de códigos de acesso. O mesmo acontece com as mensagens de texto, que podem acabar nas mãos dos mesmos criminosos que possuem seu login e senha, oriundos de um vazamento de dados, por exemplo. Em casos assim, é fácil burlar a autenticação em duas etapas.

Isso também vale para casos de celulares roubados, nos quais o bandido é capaz de desbloquear o aparelho. Aplicativos autenticadores, por exemplo, podem conter camadas biométricas extras no acesso, enquanto o mesmo não se aplica aos apps padrões de mensagens de texto; mais uma vez, lá estarão seus códigos de verificação em múltipla etapa, à mercê de bandidos que desejam acessar suas contas em redes sociais e serviços bancários.

A falta de cuidado das próprias plataformas também pode levar à interceptação de senhas de autenticação em duas etapas, mesmo nos casos em que o usuário não tiver o celular roubado. Em muitas delas, o código numérico é um dos primeiros elementos de uma mensagem de texto, o que também acaba permitindo a visualização pela tela de bloqueio, mesmo que outra pessoa esteja diante do smartphone e não possua a senha.

<em>Códigos de autenticação em duas etapas aparecem no início de mensagens SMS, para facilitar visualização pelas notificações; medidas também pode levar à visualização de códigos por terceiros, mesmo com o celular bloqueado (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Códigos de autenticação em duas etapas aparecem no início de mensagens SMS, para facilitar visualização pelas notificações; medidas também pode levar à visualização de códigos por terceiros, mesmo com o celular bloqueado (Imagem: Captura de tela/Felipe Demartini/Canaltech)

É uma medida de facilitação, que permite ao usuário enxergar o código de verificação diretamente em uma notificação, sem nem precisar sair do aplicativo no qual está fazendo login. Como acontece em muitas medidas que focam a comodidade, entretanto, a segurança acaba sendo deixada um bocado de lado, acabando por facilitar a invasão de contas por cônjuges, familiares ou atacantes que estejam no mesmo ambiente que o aparelho, por exemplo.

A mesma coisa, aliás, também vale para as chamadas, já que os smartphones não exigem códigos de segurança ou biometria para que elas sejam atendidas. Caso essa seja a opção configurada em um serviço online, qualquer pessoa que esteja próxima do seu celular poderá receber a ligação e, com ela, a senha de autenticação em duas etapas, derrotando o propósito dessa camada adicional de segurança.

Como fazer verificação em dois fatores com segurança?

<em>Apps autenticadores são oferecidos por nomes como <a class="link " href="https://canaltech.com.br/empresa/google/" rel="nofollow noopener" target="_blank" data-ylk="slk:Google">Google</a> e <a class="link " href="https://canaltech.com.br/empresa/microsoft/" rel="nofollow noopener" target="_blank" data-ylk="slk:Microsoft">Microsoft</a> e são alternativas mais seguras do que o envio de códigos por mensagens de texto (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Apps autenticadores são oferecidos por nomes como Google e Microsoft e são alternativas mais seguras do que o envio de códigos por mensagens de texto (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Ao habilitar a autenticação em dupla etapa em aplicativos ou serviços online, prefira a utilização de aplicativos dedicados a isso. Algumas das principais empresas de tecnologia do mundo possuem softwares próprios para esse fim, que apresentam códigos aleatórios renovados a cada minutos e com seus próprios dispositivos de segurança para evitar um acesso não autorizado.

Algumas das opções mais populares são o Google Autenticador, o Microsoft Authenticator e o Twilio Authy. Todos eles não apenas apresentam os recursos de cadastro de códigos, que podem ser mantidos em um único lugar para acesso fácil, como também podem se integrar aos sistemas biométricos de seu smartphone, exigindo a leitura de impressão digital, do rosto ou uma senha para acesso.

Para serviços que não permitirem o uso de aplicativos para autenticação em duas etapas, uma boa dica é preferir a verificação por e-mail, com aplicativos oficiais do Gmail, Outlook e outros também sendo integrados aos sistemas biométricos do celular. Tais softwares, também, devem ter contas configuradas com apps do tipo, de forma que o acesso por terceiros não seja possível.

<em>Ocultar prévias de mensagens na tela bloqueada do celular ajuda a evitar que códigos de autenticação em duas etapas, mesmo vindos de SMS, sejam obtidos por terceiros que estejam de posse do aparelho (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Ocultar prévias de mensagens na tela bloqueada do celular ajuda a evitar que códigos de autenticação em duas etapas, mesmo vindos de SMS, sejam obtidos por terceiros que estejam de posse do aparelho (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Vale a pena, ainda, desabilitar a prévia de mensagens na tela bloqueada de celulares com iOS e Android. Assim, elas só poderão ser visualizadas, mesmo na notificação de tela bloqueada, por usuários que passarem pela verificação biométrica ou por código; se outra pessoa estiver com o seu celular na mão, por exemplo, não será possível ler o conteúdo dos textos.

Além disso, claro, é importante lembrar que os códigos de autenticação em duas etapas não devem ser passados a ninguém. Eles não serão solicitados por atendentes de suporte nem em cadastros relacionados a serviços, com essa informação sendo exclusiva do próprio usuário para acesso à própria conta.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos