Início » Antivírus e Segurança » Por que autenticação em duas etapas por SMS é uma péssima ideia

Por que autenticação em duas etapas por SMS é uma péssima ideia

Paulo Higa Por
TB Responde
TB Responde

É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.

A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.

Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.

Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.

Mais sobre: ,
Clonagem de celular vira moda no Brasil e rouba até R$ 10 mil por vítima

Clonagem de celular vira moda no Brasil e rouba até R$ 10 mil por vítima

Investigação da Kaspersky revela que cinco mil chips no Brasil foram clonados por um grupo brasileiro de cibercriminosos
Como foram vazadas as conversas no Telegram entre Moro e Dallagnol?

Como foram vazadas as conversas no Telegram entre Moro e Dallagnol?

Site vaza mensagens trocadas pelo Telegram entre procuradores da força-tarefa da Lava Jato, Deltan Dallagnol e Sérgio Moro
Reddit foi hackeado com interceptação de SMS de login de duas etapas

Reddit foi hackeado com interceptação de SMS de login de duas etapas

Desative isso nas suas contas e troque para uma autenticação de duas etapas baseada em token
Microsoft diz que hackers iranianos tentam atacar eleições de 2020 nos EUA

Microsoft diz que hackers iranianos tentam atacar eleições de 2020 nos EUA

Microsoft descobre evidências de que cibercriminosos tentaram acessar e-mail associado a candidato à presidência
Google transforma seu celular Android em chave para autenticação de dois fatores

Google transforma seu celular Android em chave para autenticação de dois fatores

Google permite usar smartphone com Android 7.0 Nougat ou superior como chave física para verificação em duas etapas

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Jailson
Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos. http://g1.globo.com/fantast...
Jailson
Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos.
http://g1.globo.com/fantastico/noticia/2017/02/bandidos-aplicam-golpe-whatsapp-para-tirar-dinheiro-de-vitimas.html
Jailson
É mais fácil apelar para o velho estelionato e ir na operadora, falar que perdeu o celular e pedir para recuperar o número. Golpistas que usam cheques clonados fazem isso direto.
Jailson
É mais fácil apelar para o velho estelionato e ir na operadora, falar que perdeu o celular e pedir para recuperar o número. Golpistas que usam cheques clonados fazem isso direto.
Archanous
Parece notícia patrocinada. Não é tão fácil e óbvio invadir uma operadora e interceptar a resposta de uma MSC e mudar a direção para onde está o hacker. É até mais fácil criar um aplicativo virus que seja amigável e que na realidade lê o conteúdo do autenticador e envie de tempos em tempos os valores utilizados. Além do mais que via apps, inclusive de jogos isso pode estar sendo feito agora. Acho ingênuo supor que a segurança via app é extrema sendo que não se filtra em certos apps o que ele está realmente fazendo.
Luiz Henrique
Seria uma pena se a PESTE do Instagram só aceitasse códigos por SMS
Laerte Victor
eu preciso de mais etapas de autenticação, porque todo mes a minha conta da steam sofre tentativa de invasão umas 3~4x
Wesley
Mas quando você faz login em qualquer site usando o aplicativo de autenticação, ele pergunta se você quer obter o código através de SMS, se você perder o autenticador, pode obter o código por mensagem de texto.
Wesley
Até onde eu sei, não é possível desativar o acesso por SMS. Se você perder o celular ou apagar o app autenticador do seu celular, o site dá opção de você receber o código por SMS, ao invés de precisar do aplicativo pra isso, ou seja, querendo ou não, a opção de logar por SMS estará sempre lá como forma de recuperação da conta.
Wesley
Só funciona para a conta Microsoft, pois ela é integrada ao autenticador. Entretanto, o LastPass Authenticator permite você logar pela notificação em qualquer site, basta você ter a extensão do LastPass instalada no seu navegador, quando você for fazer login em algum site, uma notificação vai aparecer no smartphone, então é só autorizar e a extensão preenche o código automaticamente pra você.
David
Acredito que nós meros mortais estamos por hora a salvo, ninguém vai se dar todo esse trabalho, de descobrir nosso número, entre outros dados, e arranjar uma forma mirabolante de interceptar sms, apenas pra invadir a conta de um sujeito qualquer.
Leonardo Amaral
Achei baitzão tb. Um factor a mais sempre é desejavel que somente a senha. Só de ter um 2-factor, mesmo via tosco sms, já torna até geograficamente complicado fazer as coisas.Agora, sobre o OTP local ser mais seguro que SMS, inegável, mas o título pouco se preocupou.
Corvo
Mais uma matéria da série "Complexo de insegurança" que está na moda.Continuo com minha autenticação em uma etapa, minha senha de décadas e sem nenhum "anti-vírus", obrigado.
Victor Viana
Eu falei recuperar senha. E mesmo assim, é um elo sabidamente frágil no 2-step.
Baidu feat MC Brinquedo
O Telegram envia o código por dentro do próprio aplicativo.Acho isso muito legal! Fora que o app ainda avisa que alguém acessou sua conta, então você consegue monitorar em quais aplicativos sua conta está 'rodando'. Enquanto isso o querido zape zaperson nem mesmo consegue controlar quem te adiciona em grupos...
Baidu feat MC Brinquedo
Há um tempo atrás alguns YouTubers americanos tiveram canais roubados por conta da autenticação em duas etapas. Tempos depois descobriram que era muito fácil aplicar técnicas de engenharia social, já que a galera gosta de postar até quando tá [email protected], nas operadoras.
Wellinghton Godoi
Poxa Higa, que título clickbait horrível :(
Basquens
Com tudo já preparado fica fácil, o cara não fez isso em 2 minutos de vídeo.
Basquens
Mas isso é no 2-step, o cara pode até resgatar seu chip, mas vai ter sua senha como?(claro que tem formas, mas aí é tão dificil quanto conseguir a senha de qualquer pessoa)
robsonc
Se tem que instalar de um lado e de outro não é é a mesma coisa de instalar um Telegram? Ou o próprio whatsapp... a diferença do SMS é não depender de internet
D' Carvalho
como assim interceptar sms?!
Victor Viana
Qualquer funcionário mal intencionado de operadora pode resgatar seu chip sem ser você é recuperar a senha do seu e-mail e daí em diante o céu é o limite.É MUITO simples. Não sei porque raios ainda usam essa técnica de (in) segurança
Samuel Cesar
Não adota pq o pessoal acomodado irá criar 300 perfis no FB quando esquecer a senha e ter o telefone roubado. Isto hj infelizmente só pra que é "vidrado" em segurança.
Samuel Cesar
O cloud é uma brecha do Authy. Já tem relatos de muitas pessoas que perderam btc com por conta dele.
Samuel Cesar
Salve o QR code e imprima. Com o código vc pode colocar em varios celulares gerando as mesmas chaves.
kadu
Sim, mas com o código né? Minha dúvida é sobre a notificação, que torna o processo mais prático.
lucas.lop
Bom, você não precisa hoje. Talvez um dia.E "todo esse trabalho" me pareceu bem simples.
Cristina Nascimento
"Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba)..." eita, Higa, vc tb assina o plano dos Correios Celular?
Islan Oliveira
https://uploads.disquscdn.c...
Islan Oliveira
Eu uso ele pra autenticar meu acesso ao Facebook tranquilamente.
Felipe Fernandes
Só pra MS ate onde sei
Basquens
Horrivel é esse titulo clickbait.2-step vai impedir que grande parte dos hackers consigam acesso aos seus dados.Fora que para isso o hacker tem que saber seu número de celular.Com certeza para roubar dinheiro vai ter gente que vai ter todo esse trabalho, mas ninguém vai passar por todo esse trabalho para acessar meu email/facebook/twitter/dropbox.
kadu
Mas a notificação funciona para qualquer conta ou só para a conta MS?
Sammy
Ah higa, corta essa, eu prefiro mil vezes receber um CODE via SMS, além de enviar a notificação de permissão no smartphone, dando a opção de permitir acesso, tirando que todo santo login que é feito na conta, é solicitado o código SMS, como o numero esta no meu CPF, e o chip que é a coisa mais importante no momento, eu deixo em casa, em caso de roubo, já tenho meu salva vida em casa, sinceramente, authenticators pra mim não rola mais, testei uma vez, além de falhar diversas vezes, tem o risco de ter o celular roubado e perder a recuperação, sabemos da luta que é pra caçar o código de recuperação né.
Juan de Souza
Eu utilizo em minha empresa e recomendo o Authy, um excelente app que sincroniza as chaves 2FA em Cloud.
Juan de Souza
"algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba"... Paulo Higa, 2017.
John Smith
Não, só por notificação via push. Estando offline é necessário digitar o código gerado no aplicativo.
John Smith
Mais prático que aparecer uma mensagem na tela perguntando "É você tentando fazer login?" e selecionar "Sim"? Pra mim não é, hehe.
Will
Só falta as empresas adotarem em massa o Authy/ google / microsoft authenticator
Felipe Liʍa
problema eh q, vc esta num horario de pico da rede, e o SMS demora pra chegar!!! ja os APP é so abrir e ta la o codigo!
Andreas Sprenger
Legal, vou testar :)
Felipe Fernandes
Nesse quesito eu gosto do autenticador da Microsoft, ele manda uma notificação que você pode aprovar ou negar por ela mesmo, não precisa abrir o app.Mas acaba de me ocorrer se isso funciona offline ou não...
Sérgio Carvalho
Engraçado isso! Há alguns dias tentei acessar minha conta Gmail da minha casa, e a Google negou meu acesso mesmo com email de recuperação e telefone.
Andreas Sprenger
Já usei esses autenticadores, mas voltei ao SMS. É muito mais prático do que entrar no app, você já recebe o código e nem precisa sair da tela que você está. Ficarei com SMS por hora.