Por que autenticação em duas etapas por SMS é uma péssima idéia?

0 518

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password.

E também temos a autenticação em dois fatores via SMS: uma camada de proteção que só libera o acesso à contas quando inserimos um código enviado para um celular previamente cadastrado.

A princípio, a autenticação em 2 fatores, também chamada de A2F, é um excelente método de proteção.

O problema se encontra quando esse segundo fator de autenticação é um celular que receberá um SMS com o código de liberação

Mas será que esse método de login é realmente um problema?

Funciona assim: para acessar a sua conta, o usuário não precisa apenas da senha, mas também de um código secreto enviado via SMS pela empresa. Idealmente, esses códigos que só funcionam uma vez são enviados para um determinado celular para assegurar que ninguém mais o veja.

O protocolo de sinalização SS7 é o grande responsável pela inicialização e controle das chamadas do mundo inteiro. É uma espécie de DNS só que usado para chamadas telefônicas e envio de mensagens de texto.

A rede SS7 (Sistema de Sinalização 7)tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Vamos supor que venha existir uma brecha de segurança na rede global de telecomunicações. Se um cara mal-intencionado violar essa rede, ele poderia direcionar o tráfego para onde ele quiser e interceptar o código A2F, o que as torna vulneráveis a ataques.

Enquanto o mundo espera que as empresas de telecomunicações atuem, os usuários também podem parar de usar o SMS para autenticação de dois fatores. Melhor fazermos nossa parte do que esperar que eles façam a deles.

Deixe uma resposta

Seu endereço de email não será publicado.