Agência dos EUA desencoraja uso de autenticação em dois fatores por SMS

Por Redação | 27 de Julho de 2016 às 07h43

O método de verificar a autenticidade do usuário por meio de SMS, utilizado por serviços como Facebook, WhatsApp, Twitter e Google, pode estar com os dias contados. Em um novo documento, o governo dos Estados Unidos alerta sobre vulnerabilidades nesse método de autenticação em dois fatores. O documento é a versão mais recente do

Digital Authentication Guideline

, produzido pelo Instituto Nacional de Padrões e Tecnologia dos EUA. Nele, o órgão dá o alerta de que as mensagens SMS podem ser interceptadas ou redirecionadas, o que as tornam vulneráveis a ações criminosas.

A autenticação de dois fatores é um método amplamente utilizado por serviços cuja segurança é confiável, sendo usado até mesmo por instituições bancárias. Funciona da seguinte maneira: para confirmar um cadastro, o usuário precisa inserir um código secreto enviado pelo serviço para o número de telefone celular informado no cadastro. O código é recebido por meio de uma mensagem de texto, e hackers podem encontrar maneiras de enganar esse sistema.

Enquanto alguns invasores usam malwares para infectar os smartphones e redirecionar secretamente as mensagens SMS contendo o código de ativação para outro aparelho (que pode “roubar” o cadastro do usuário tendo posse do código de segurança), outros escolhem praticar outro tipo de crime: passando-se por suas vítimas, o invasor pode pedir para a operadora reenviar as mensagens SMS para outro número. Sendo assim, o órgão norte-americano declarou que esses números de celular conectados a serviços baseados em software, incluindo VoIP, podem ser vulneráveis e deixar em risco a segurança das mensagens SMS do usuário.

No lugar da autenticação em dois fatores via SMS, a agência federal recomenda que as empresas de tecnologia encontrem alternativas mais seguras para o usuário, o que pode incluir enviar os tais códigos por meio de um aplicativo mobile com sistemas próprios de segurança. O Google, por exemplo, já trabalha com um app desse tipo chamado Autenticador, que permite ao usuário escapar das redes telefônicas e gerar um código de segurança diretamente no smartphone a partir do aplicativo.

A partir de agora, nos resta aguardar o posicionamento do mercado com relação a essa proposta do governo dos Estados Unidos, mas a expectativa é que as companhias que utilizam esse método de autenticação optem por alternativas como reconhecimento de impressões digitais, envio de tokens via hardware, entre outros métodos que já vêm sendo desenvolvidos por empresas de cibersegurança.

Fonte: PC World

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.