Por que autenticação em duas etapas por SMS é uma péssima ideia
TB Responde
É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.
Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.
A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:
Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.
E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.
Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.
Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.
Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.
Comentários
Envie uma perguntaOs mais notáveis
Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos.
http://g1.globo.com/fantast...
Mas quando você faz login em qualquer site usando o aplicativo de autenticação, ele pergunta se você quer obter o código através de SMS, se você perder o autenticador, pode obter o código por mensagem de texto.
Até onde eu sei, não é possível desativar o acesso por SMS. Se você perder o celular ou apagar o app autenticador do seu celular, o site dá opção de você receber o código por SMS, ao invés de precisar do aplicativo pra isso, ou seja, querendo ou não, a opção de logar por SMS estará sempre lá como forma de recuperação da conta.
Só funciona para a conta Microsoft, pois ela é integrada ao autenticador. Entretanto, o LastPass Authenticator permite você logar pela notificação em qualquer site, basta você ter a extensão do LastPass instalada no seu navegador, quando você for fazer login em algum site, uma notificação vai aparecer no smartphone, então é só autorizar e a extensão preenche o código automaticamente pra você.
Acredito que nós meros mortais estamos por hora a salvo, ninguém vai se dar todo esse trabalho, de descobrir nosso número, entre outros dados, e arranjar uma forma mirabolante de interceptar sms, apenas pra invadir a conta de um sujeito qualquer.
Achei baitzão tb. Um factor a mais sempre é desejavel que somente a senha. Só de ter um 2-factor, mesmo via tosco sms, já torna até geograficamente complicado fazer as coisas.
Agora, sobre o OTP local ser mais seguro que SMS, inegável, mas o título pouco se preocupou.
Mais uma matéria da série "Complexo de insegurança" que está na moda.
Continuo com minha autenticação em uma etapa, minha senha de décadas e sem nenhum "anti-vírus", obrigado.
Eu falei recuperar senha. E mesmo assim, é um elo sabidamente frágil no 2-step.
O Telegram envia o código por dentro do próprio aplicativo.
Acho isso muito legal! Fora que o app ainda avisa que alguém acessou sua conta, então você consegue monitorar em quais aplicativos sua conta está 'rodando'. Enquanto isso o querido zape zaperson nem mesmo consegue controlar quem te adiciona em grupos...
Há um tempo atrás alguns YouTubers americanos tiveram canais roubados por conta da autenticação em duas etapas. Tempos depois descobriram que era muito fácil aplicar técnicas de engenharia social, já que a galera gosta de postar até quando tá c@gando, nas operadoras.
Poxa Higa, que título clickbait horrível :(
Com tudo já preparado fica fácil, o cara não fez isso em 2 minutos de vídeo.
Mas isso é no 2-step, o cara pode até resgatar seu chip, mas vai ter sua senha como?
(claro que tem formas, mas aí é tão dificil quanto conseguir a senha de qualquer pessoa)
Se tem que instalar de um lado e de outro não é é a mesma coisa de instalar um Telegram? Ou o próprio whatsapp... a diferença do SMS é não depender de internet
como assim interceptar sms?!
Qualquer funcionário mal intencionado de operadora pode resgatar seu chip sem ser você é recuperar a senha do seu e-mail e daí em diante o céu é o limite.
É MUITO simples. Não sei porque raios ainda usam essa técnica de (in) segurança
Não adota pq o pessoal acomodado irá criar 300 perfis no FB quando esquecer a senha e ter o telefone roubado. Isto hj infelizmente só pra que é "vidrado" em segurança.
O cloud é uma brecha do Authy. Já tem relatos de muitas pessoas que perderam btc com por conta dele.
Salve o QR code e imprima. Com o código vc pode colocar em varios celulares gerando as mesmas chaves.
Sim, mas com o código né? Minha dúvida é sobre a notificação, que torna o processo mais prático.
Bom, você não precisa hoje. Talvez um dia.
E "todo esse trabalho" me pareceu bem simples.
"Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba)..." eita, Higa, vc tb assina o plano dos Correios Celular?
https://uploads.disquscdn.c...
Eu uso ele pra autenticar meu acesso ao Facebook tranquilamente.
Só pra MS ate onde sei
Horrivel é esse titulo clickbait.
2-step vai impedir que grande parte dos hackers consigam acesso aos seus dados.
Fora que para isso o hacker tem que saber seu número de celular.
Com certeza para roubar dinheiro vai ter gente que vai ter todo esse trabalho, mas ninguém vai passar por todo esse trabalho para acessar meu email/facebook/twitter/dropbox.
Mas a notificação funciona para qualquer conta ou só para a conta MS?
Ah higa, corta essa, eu prefiro mil vezes receber um CODE via SMS, além de enviar a notificação de permissão no smartphone, dando a opção de permitir acesso, tirando que todo santo login que é feito na conta, é solicitado o código SMS, como o numero esta no meu CPF, e o chip que é a coisa mais importante no momento, eu deixo em casa, em caso de roubo, já tenho meu salva vida em casa, sinceramente, authenticators pra mim não rola mais, testei uma vez, além de falhar diversas vezes, tem o risco de ter o celular roubado e perder a recuperação, sabemos da luta que é pra caçar o código de recuperação né.
Eu utilizo em minha empresa e recomendo o Authy, um excelente app que sincroniza as chaves 2FA em Cloud.
"algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba"... Paulo Higa, 2017.
Não, só por notificação via push. Estando offline é necessário digitar o código gerado no aplicativo.
Mais prático que aparecer uma mensagem na tela perguntando "É você tentando fazer login?" e selecionar "Sim"? Pra mim não é, hehe.
Só falta as empresas adotarem em massa o Authy/ google / microsoft authenticator
problema eh q, vc esta num horario de pico da rede, e o SMS demora pra chegar!!! ja os APP é so abrir e ta la o codigo!
Legal, vou testar :)
Nesse quesito eu gosto do autenticador da Microsoft, ele manda uma notificação que você pode aprovar ou negar por ela mesmo, não precisa abrir o app.
Mas acaba de me ocorrer se isso funciona offline ou não...
Engraçado isso! Há alguns dias tentei acessar minha conta Gmail da minha casa, e a Google negou meu acesso mesmo com email de recuperação e telefone.
Já usei esses autenticadores, mas voltei ao SMS. É muito mais prático do que entrar no app, você já recebe o código e nem precisa sair da tela que você está. Ficarei com SMS por hora.