No contexto: A Microsoft vem pressionando por novos padrões de segurança há anos. Recentemente, a empresa intensificou seus esforços para eliminar as senhas e, agora, o diretor de segurança de identidade da empresa, Alex Weinert, está pedindo ao público que fique longe dos métodos tradicionais de autenticação de dois fatores baseados em SMS.
Antes de prosseguirmos, vamos deixar uma coisa bem clara: alguns autenticação de dois fatores, mesmo baseada em SMS, é muito, muito melhor do que não 2FA. Confiar apenas na sua senha é uma tarefa arriscada, especialmente se você reutilizar a mesma senha em vários sites ou serviços.
No entanto, das muitas opções de 2FA disponíveis para os usuários atualmente, a autenticação por telefone é a menos segura, de acordo com Weinert. Primeiro, diz ele, muitas das táticas usadas por hackers para expor senhas que não são protegidas por um autenticador, como roubo de dispositivo, “controle de conta” e engenharia social, ainda funcionam com autenticação multifator baseada em SMS. Em outras palavras, tem poucas vantagens exclusivas.
O que isso faz temos, diz Weinert, várias disvantagens. Para começar, 2FA baseado em SMS não é “adaptável”. Como não é baseado em software, não pode mudar em resposta a novas estratégias de hacking, avanços tecnológicos ou “expectativas de experiência do usuário”. É sempre o mesmo.
Mais importante, porém, os protocolos de SMS e voz são transmitidos “às claras”, o que significa que qualquer invasor “determinado” pode interceptar mensagens 2FA e chamadas telefônicas para roubar seus códigos de login.
“Infelizmente, os agentes de suporte ao cliente são vulneráveis a charme, coerção, suborno ou extorsão.”
Weinert também acredita que a 2FA baseada em SMS é o método MFA mais fácil para o engenheiro social. “Infelizmente, os agentes de suporte ao cliente são vulneráveis a charme, coerção, suborno ou extorsão”, escreve ele. “Se esses esforços de engenharia social tiverem sucesso, o suporte ao cliente pode fornecer acesso ao SMS ou canal de voz.”
Soluções baseadas em aplicativos como Authy, ou mesmo métodos de MFA de hardware como chaves de segurança, são ambos imunes à engenharia social: você é o único com acesso aos códigos que esses aplicativos geram e eles são atualizados muito rapidamente (geralmente em 15-30 segundos) .
Weinert apresenta uma série de outros motivos para considerar a mudança do 2FA baseado em SMS, mas cobrimos os mais importantes aqui. Naturalmente, no final de sua postagem, ele recomenda o Microsoft Authenticator para qualquer pessoa que esteja procurando um aplicativo MFA.
Porém, se você não quiser usar o serviço da Microsoft, existem outras opções: Google Authenticator e Authy são ambas ótimas alternativas, e este último oferece uma versão desktop.
Crédito da imagem: Golubovystock
No contexto: A Microsoft vem pressionando por novos padrões de segurança há anos. Recentemente, a empresa intensificou seus esforços para eliminar as senhas e, agora, o diretor de segurança de identidade da empresa, Alex Weinert, está pedindo ao público que fique longe dos métodos tradicionais de autenticação de dois fatores baseados em SMS.
Antes de prosseguirmos, vamos deixar uma coisa bem clara: alguns autenticação de dois fatores, mesmo baseada em SMS, é muito, muito melhor do que não 2FA. Confiar apenas na sua senha é uma tarefa arriscada, especialmente se você reutilizar a mesma senha em vários sites ou serviços.
No entanto, das muitas opções de 2FA disponíveis para os usuários atualmente, a autenticação por telefone é a menos segura, de acordo com Weinert. Primeiro, diz ele, muitas das táticas usadas por hackers para expor senhas que não são protegidas por um autenticador, como roubo de dispositivo, “controle de conta” e engenharia social, ainda funcionam com autenticação multifator baseada em SMS. Em outras palavras, tem poucas vantagens exclusivas.
O que isso faz temos, diz Weinert, várias disvantagens. Para começar, 2FA baseado em SMS não é “adaptável”. Como não é baseado em software, não pode mudar em resposta a novas estratégias de hacking, avanços tecnológicos ou “expectativas de experiência do usuário”. É sempre o mesmo.
Mais importante, porém, os protocolos de SMS e voz são transmitidos “às claras”, o que significa que qualquer invasor “determinado” pode interceptar mensagens 2FA e chamadas telefônicas para roubar seus códigos de login.
“Infelizmente, os agentes de suporte ao cliente são vulneráveis a charme, coerção, suborno ou extorsão.”
Weinert também acredita que a 2FA baseada em SMS é o método MFA mais fácil para o engenheiro social. “Infelizmente, os agentes de suporte ao cliente são vulneráveis a charme, coerção, suborno ou extorsão”, escreve ele. “Se esses esforços de engenharia social tiverem sucesso, o suporte ao cliente pode fornecer acesso ao SMS ou canal de voz.”
Soluções baseadas em aplicativos como Authy, ou mesmo métodos de MFA de hardware como chaves de segurança, são ambos imunes à engenharia social: você é o único com acesso aos códigos que esses aplicativos geram e eles são atualizados muito rapidamente (geralmente em 15-30 segundos) .
Weinert apresenta uma série de outros motivos para considerar a mudança do 2FA baseado em SMS, mas cobrimos os mais importantes aqui. Naturalmente, no final de sua postagem, ele recomenda o Microsoft Authenticator para qualquer pessoa que esteja procurando um aplicativo MFA.
Porém, se você não quiser usar o serviço da Microsoft, existem outras opções: Google Authenticator e Authy são ambas ótimas alternativas, e este último oferece uma versão desktop.
Crédito da imagem: Golubovystock