Autenticação de dois fatores: não utilize SMS no seu sistema

Muitos preferem utilizar o envio de SMS com o código secreto na autenticação de dois fatores, mas isso é um risco para a sua segurança.

Autenticação de dois fatores: não utilize SMS no seu sistema
Autenticação de dois fatores: não utilize SMS no seu sistema

Embora muitos prefiram utilizar o envio de SMS para habilitar a autenticação de dois fatores em seus sistemas isso não é recomendado.

Para quem não sabe na autenticação de dois fatores, após o usuário informar suas credencias de acesso é necessário informar um código gerado na hora.

Este código tem um prazo de expiração e pode ser recebido por e-mail, SMS ou ainda em aplicativos específicos no seu smartphone.

Mas falando especificamente do envio via SMS, será esse o melhor caminho?

Autenticação de dois fatores: não utilize SMS no seu sistema

Pode parecer o melhor caminho, afinal o SMS em teoria está somente acessível para o dono da linha telefônica e ainda não depende da instalação de aplicativos de terceiros.

Mas vale lembrar que por ser uma tecnologia muito antiga o SMS é particularmente vulnerável a interceptações.

O grupo hacker Positive Technologies participou de um desafio, acessar uma carteira de bitcoin na Coinbase.

Por mais bizarro que possa parecer foi possível interceptar o SMS com o código de segurança de maneira bem fácil e rápida.

Como foi o teste?

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail onde eles obtém previamente alguns dados (como nome e sobrenome) da “vítima”.

Então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta.

Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

Como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”.

Com o e-mail de recuperação de senha em mãos bastou trocar a senha original para comprometer toda a segurança da conta.

Por fim, manter a autenticação de dois fatores em um sistema é importante, mas para ser realmente eficaz prefira utilizar aplicativos como o Google Authenticator, Authenticator da Microsoft, Authy ou 1Password.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.