Microsoft diz que você não deve mais usar SMS para autenticação em dois fatores

Os internautas, felizmente, estão se dando conta de que usar autenticação dupla — também chamada de autenticação em duas etapas ou simplesmente 2FA, do inglês 2-factor authentication — virou uma necessidade em tempos de vazamento de dados e sequestro de contas digitais. Porém, as poucas pessoas que efetivamente usam essa camada adicional de proteção costumam empregar mensagens SMS ou chamadas de voz para receber os códigos únicos utilizados para fazer login.

• Segurança: aprenda o que é e como ativar a dupla verificação em sites populares
• Zoom agora protege contas com autenticação em duas etapas; saiba como ativar
• Como ativar a autenticação em duas etapas no iPhone ou iPad

Ok, esse método pode ser melhor do que nada. Mas, como alertado por Alex Weinert, diretor de segurança de identidade da Microsoft, usar autenticação dupla via SMS ou ligações não é tão seguro quanto parece, já que esses dois vetores podem ser interceptados de forma que o criminoso receba o código de verificação antes de você. Se isso acontecer, de nada adiantou ativar o 2FA em sua conta, pois ela será invadida de um jeito ou de outro.

Em uma postagem em seu blog, Weinert ressalta que mensagens SMS e chamadas de voz não possuem criptografia, sendo transferidas em texto simples — o que facilita a sua interceptação por agentes maliciosos usando técnicas como células FEMTO ou serviços SS7; ademais, temos o clássico problema do SIM Swap, quando o criminoso “sequestra” sua linha telefônica (geralmente contando com a ajuda de um insider, ou seja, um funcionário da operadora).

Qual seria a solução então? Usar aplicativos dedicados a armazenar esse tipo de informação sensível. Temos várias opções no mercado, incluindo o Microsoft Authenticator, o Google Authenticator e o Authy. O ideal, comenta Weinert, é empregar dispositivos físicos que geram tokens aleatórios.

Fonte: ZDNet