Publicidade

É seguro usar SMS para fazer autenticação de dois fatores?

Por| Editado por Claudio Yuge | 24 de Junho de 2022 às 20h20

Link copiado!

Divulgação/The Cloud People
Divulgação/The Cloud People

Os sistemas de autenticação em duas etapas (2FA, na sigla em inglês) são uma importante e essencial adição a qualquer perfil, desde contas em e-mails e redes sociais até sistemas bancários ou plataformas de e-commerce. O protocolo exige um segundo código, além do e-mail e da senha, que é normalmente enviado ao celular do usuário como forma de garantir que é ele próprio quem está efetuando o login — sendo assim, o uso de mensagens de texto acaba sendo um caminho.

Esta, porém, não é a via mais segura para fazer isso, pelo contrário. Seja pela falta de zelo das plataformas digitais com os códigos numéricos ou pela possibilidade de interceptação e clonagem, a utilização do SMS para verificação em duas etapas não é mais uma recomendação de especialistas, com direito a pedidos até da Microsoft para que as pessoas parem de usar esse método.

Porque usar SMS para autenticação em duas etapas não é seguro?

Continua após a publicidade

A falta de criptografia na comunicação por mensagens de texto é apenas um dos motivos que respondem essa pergunta. Usar esse formato, claro, é melhor do que nada, mas os SMSs estão sujeitos a interceptação caso um criminoso seja capaz de clonar o chip do seu celular, por exemplo — ligações telefônicas também são uma opção disponível em muitas plataformas online, pouco segura pelos mesmos motivos.

Ataques avançados detectados recentemente por especialistas em segurança provaram que o redirecionamento de chamadas pode ser usado para roubar contas e desviar o destino de códigos de acesso. O mesmo acontece com as mensagens de texto, que podem acabar nas mãos dos mesmos criminosos que possuem seu login e senha, oriundos de um vazamento de dados, por exemplo. Em casos assim, é fácil burlar a autenticação em duas etapas.

Isso também vale para casos de celulares roubados, nos quais o bandido é capaz de desbloquear o aparelho. Aplicativos autenticadores, por exemplo, podem conter camadas biométricas extras no acesso, enquanto o mesmo não se aplica aos apps padrões de mensagens de texto; mais uma vez, lá estarão seus códigos de verificação em múltipla etapa, à mercê de bandidos que desejam acessar suas contas em redes sociais e serviços bancários.

Continua após a publicidade

A falta de cuidado das próprias plataformas também pode levar à interceptação de senhas de autenticação em duas etapas, mesmo nos casos em que o usuário não tiver o celular roubado. Em muitas delas, o código numérico é um dos primeiros elementos de uma mensagem de texto, o que também acaba permitindo a visualização pela tela de bloqueio, mesmo que outra pessoa esteja diante do smartphone e não possua a senha.

É uma medida de facilitação, que permite ao usuário enxergar o código de verificação diretamente em uma notificação, sem nem precisar sair do aplicativo no qual está fazendo login. Como acontece em muitas medidas que focam a comodidade, entretanto, a segurança acaba sendo deixada um bocado de lado, acabando por facilitar a invasão de contas por cônjuges, familiares ou atacantes que estejam no mesmo ambiente que o aparelho, por exemplo.

A mesma coisa, aliás, também vale para as chamadas, já que os smartphones não exigem códigos de segurança ou biometria para que elas sejam atendidas. Caso essa seja a opção configurada em um serviço online, qualquer pessoa que esteja próxima do seu celular poderá receber a ligação e, com ela, a senha de autenticação em duas etapas, derrotando o propósito dessa camada adicional de segurança.

Continua após a publicidade

Como fazer verificação em dois fatores com segurança?

Ao habilitar a autenticação em dupla etapa em aplicativos ou serviços online, prefira a utilização de aplicativos dedicados a isso. Algumas das principais empresas de tecnologia do mundo possuem softwares próprios para esse fim, que apresentam códigos aleatórios renovados a cada minutos e com seus próprios dispositivos de segurança para evitar um acesso não autorizado.

Algumas das opções mais populares são o Google Autenticador, o Microsoft Authenticator e o Twilio Authy. Todos eles não apenas apresentam os recursos de cadastro de códigos, que podem ser mantidos em um único lugar para acesso fácil, como também podem se integrar aos sistemas biométricos de seu smartphone, exigindo a leitura de impressão digital, do rosto ou uma senha para acesso.

Continua após a publicidade

Para serviços que não permitirem o uso de aplicativos para autenticação em duas etapas, uma boa dica é preferir a verificação por e-mail, com aplicativos oficiais do Gmail, Outlook e outros também sendo integrados aos sistemas biométricos do celular. Tais softwares, também, devem ter contas configuradas com apps do tipo, de forma que o acesso por terceiros não seja possível.

Vale a pena, ainda, desabilitar a prévia de mensagens na tela bloqueada de celulares com iOS e Android. Assim, elas só poderão ser visualizadas, mesmo na notificação de tela bloqueada, por usuários que passarem pela verificação biométrica ou por código; se outra pessoa estiver com o seu celular na mão, por exemplo, não será possível ler o conteúdo dos textos.

Além disso, claro, é importante lembrar que os códigos de autenticação em duas etapas não devem ser passados a ninguém. Eles não serão solicitados por atendentes de suporte nem em cadastros relacionados a serviços, com essa informação sendo exclusiva do próprio usuário para acesso à própria conta.