Home > Internet

Autenticação em dois fatores via SMS pode estar com os dias contados

Em novo documento, governo dos EUA alerta sobre vulnerabilidade do método usado por empresas como Facebook, Twitter e Google.

PC World / EUA

26/07/2016 às 18h10

malware_625.jpg
Foto:

A autenticação de dois fatores com mensagens SMS logo poderá ser uma coisa do passado. Isso porque uma agência federal dos EUA está desencorajando o uso desse método.

O Instituto Nacional de Padrões e Tecnologia dos EUA publicou nesta semana a mais recente versão do seu Digital Authentication Guideline alertando que as mensagens SMS podem ser interceptadas ou redirecionadas, o que as torna vulneráveis a ataques.

Muitas empresas, como Facebook, Google e Twitter, assim como bancos, utilizam a autenticação de dois fatores com a mensagem de texto no celular para adicionar uma camada extra de segurança para as contas dos usuários.

Funciona assim: para acessar a sua conta, o usuário não precisa apenas da senha, mas também de um código secreto enviado via SMS pela empresa. Idealmente, esses códigos que só funcionam uma vez são enviados para um determinado celular para assegurar que ninguém mais o veja.

Mas, mesmo assim, os hackers encontram maneiras de enganar o sistema. No passado, os criminosos já usaram malware para infectar smartphones e redirecionar secretamente as mensagens SMS para outro aparelho.

Outros escolhem se passar por suas vítimas, pedindo para a operadora que reenvie as mensagens SMS para outro número.

O órgão americano sugere que esses números telefônicos conectados com serviços baseados em software, incluindo VoIP, possam ser vulneráveis a hacks, deixando em risco a segurança das mensagens SMS.

Em vez disso, a agência federal recomenda que as empresas de tecnologia encontrem alternativas melhores. Isso pode incluir ainda enviar códigos parecidos, mas por meio de um aplicativo seguro para smartphone.

O Google, por exemplo, já oferece isso por meio do seu aplicativo Autenticador, que permite escapar das redes telefônicas e gerar um código diretamente no smartphone do usuário.

Ainda não está claro como o mercado vai reagir à proposta do governo dos EUA. Mas empresas de cibersegurança já vem trabalhando em maneiras de proteger mais as contas dos usuários e seus aparelhos por meio de reconhecimento de impressão digital, tokens via hardware, entre outros métodos.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail