A autenticação de dois factores (2FA) acrescenta uma camada importante de segurança às suas contas online. No entanto nem todos os métodos são iguais. Muitas pessoas confiam na 2FA baseada em SMS, para receberem os códigos de autenticação assumindo que é uma escolha segura. Infelizmente, as SMS estão longe de serem infalíveis.
Um dos riscos mais alarmantes da utilização de SMS para autenticação é a troca de SIM. Trata-se de uma técnica em que os atacantes enganam o seu fornecedor de serviços móveis para transferir o seu número de telefone para um novo cartão SIM. Assim que controlam o seu número, podem interceptar quaisquer mensagens SMS enviadas para o mesmo.
Funciona da seguinte forma: os atacantes contactam o seu operador móvel, fazendo-se passar por si. Utilizando dados pessoais roubados – como a sua morada ou o número de contribuinte – convencem o fornecedor a transferir o seu número de telefone para o cartão SIM deles. Uma vez concluída esta transferência, o atacante intercepta as mensagens de texto enviadas para o seu número, incluindo os códigos 2FA destinados a proteger as suas contas.
Mas os problemas não se ficam por aqui. Muitos de nós associamos os nossos números de telefone a várias contas, desde o e-mail às redes sociais e às aplicações bancárias. Uma troca de SIM bem sucedida pode conceder a um atacante acesso a várias contas ligadas ao seu número de telefone, desde o e-mail às aplicações bancárias.
As mensagens SMS para receber os códigos de autenticação podem ser interceptadas
Mesmo que evite a troca de SIM, as mensagens SMS em si não são seguras. Elas viajam através de redes que podem ser vulneráveis à interceção. Os atacantes podem interceptar as suas mensagens SMS sem necessitarem de aceder ao seu telefone físico.
Isto não é apenas teórico; a pirataria de SIM é um problema bem documentado. Os cibercriminosos e até alguns grupos patrocinados pelo Estado utilizaram as vulnerabilidades do SS7 para espiar as comunicações e roubar informações sensíveis. Como as SMS não têm encriptação, o conteúdo da mensagem, incluindo os códigos de acesso de uso único, é exposto durante a transmissão.
Outra forma de as mensagens serem comprometidas é através de aplicações maliciosas ou spyware instalado no seu dispositivo. Estes programas podem monitorizar as suas mensagens SMS recebidas e reencaminhar códigos 2FA para atacantes sem o seu conhecimento.
As SMS estão ligadas ao seu número de telefone
Outra desvantagem significativa da 2FA baseada em SMS é a sua dependência do seu número de telefone. A sua capacidade de receber códigos está diretamente ligada ao seu serviço móvel. Se estiver numa área com má receção, a 2FA baseada em SMS torna-se completamente inútil, mesmo que tenha Wi-Fi. Ao contrário de outros métodos de autenticação que podem funcionar através de uma ligação à Internet, as SMS requerem um sinal de telemóvel estável.
Esta dependência pode deixá-lo encalhado em situações em que precisa de aceder às suas contas, mas não consegue receber os códigos.
O que deve utilizar
Quando houver possibilidade e em vez de depender de SMS para 2FA, opte por aplicações de autenticação 2FA. Aplicações como o Google Authenticator ou o Microsoft Authenticator e o Authy geram palavras-passe únicas baseadas no tempo diretamente no seu dispositivo, oferecendo uma alternativa muito mais segura e fiável ao SMS.
Entretanto a primeira grande vantagem das aplicações de autenticação é a segurança. Ao contrário das SMS, estas aplicações geram códigos localmente no seu telemóvel. Isto significa que não são transmitidos através de redes que possam ser interceptadas ou exploradas. Também estão protegidas por camadas adicionais de segurança – muitas aplicações requerem um código de acesso, impressão digital ou digitalização facial para aceder aos códigos.
Outra razão trata-se da funcionalidade offline. Uma vez que os códigos se geram diretamente no dispositivo, não necessita de uma ligação móvel para os utilizar. Quer esteja numa área remota sem serviço ou simplesmente dentro de casa com má receção, pode aceder aos seus códigos desde que tenha o seu dispositivo.
Entretanto a utilização de uma aplicação de autenticação é simples. Depois de a configurar, normalmente através da leitura de um código QR fornecido pelo Web site durante o processo de configuração da 2FA, basta abrir a aplicação para aceder a um código sempre que iniciar sessão.
Utiliza alguma aplicação para a receber códigos de autenticação para além das SMS?
