Read, hack, repeat

“É hora de parar de usar SMS em autenticação multifator”, diz diretor de segurança da Microsoft

Guilherme Petry

Autenticação multifator (MFA) ou autenticação de dois fatores (2FA) são mecanismos de segurança fundamentais. Eles fornecem um nível de segurança drasticamente maior que só o uso de boas senhas. Mas, de acordo com Alex Weinert, diretor de segurança de identidade da Microsoft, a autenticação multifator feita por voz ou SMS não é segura. “É hora de começar a se afastar dos mecanismos de autenticação multifator por voz e SMS”, diz.

O executivo explica que esses mecanismos são baseados em redes públicas de telefonia comutada (RPTC) e há ferramentas que podem explorar credenciais de contas em redes desse tipo. “Sua conta RPTC tem todas as vulnerabilidades que tem todos os outros autenticadores, mais uma série de outros problemas específicos. Acredito que sejam os menos seguros dos métodos de MFA disponíveis hoje”, diz o executivo no blog da Microsoft.

Embora a autenticação por telefone não seja tão segura, é definitivamente mais segura que não ter nenhuma. MFAs tornam o processo de invasão de uma conta muito complicado, mesmo que o criminoso tenha acesso a senha.

Um cibercriminoso pode descobrir sua senha de diversas formas: adivinhando, roubando com o uso de malware, ataques de phishing, ou até se aproveitando do fato que a maioria das pessoas usa a mesma senha para todos os serviços online. Mas ele dificilmente vai ter acesso ao código do seu autenticador.

“Autenticação multifator (MFA) é o mínimo que você pode fazer se leva a sério a proteção de suas contas. O uso de qualquer coisa além da senha aumenta significativamente os custos para os invasores, razão pela qual a taxa de comprometimento de contas usando qualquer tipo de MFA é inferior a 0,1% da população em geral”, diz Weinert.

No entanto, MFA por voz e SMS não garante que você esteja seguro de ataques de SIM Swap (troca de SIM), que é quando um cibercriminoso entra em contato com a companhia telefônica se passando pela vítima e pedindo um chip novo (como foi o caso que sofreu o ex-ministro da justiça Sérgio Moro). Ao instalar o chip no equipamento o criminoso tem acesso as ligações e mensagens de texto enviadas para a vítima, também é capaz de acessar o aplicativos de mensagem WhatsApp sem necessidade de senha, como também tem acesso a outras contas, caso tenha a senha.

É importante notar também que ao utilizar mensagem de texto e voz para autenticar seus acessos, a companhia telefônica que você utiliza pode ter acesso a essas informações, se quiser.

Para evitar ter sua conta roubada, mesmo caso seu chip seja clonado, o executivo da Microsoft recomenda o uso de aplicativos autenticadores, que criptografam as mensagens enviadas. Assim, esperamos que o código de autenticação seja lido somente pelos donos da conta.


Fonte: Blog da Microsoft.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.