Início » Antivírus e Segurança » Microsoft pede que você deixe de usar autenticação via SMS

Microsoft pede que você deixe de usar autenticação via SMS

A Microsoft elenca alguns riscos para o SMS em autenticação como a falta de criptografia e a interceptação da mensagem enviada

André Fogaça Por

A Microsoft está tentando te convencer de que a autenticação em duas etapas é boa, desde que ela não aconteça com uso de mensagens SMS – e ela está certa. Segundo um executivo da gigante do software, mensagens de texto podem ser interceptadas e não oferecem nenhuma proteção, como criptografia.

Autenticação em duas etapas (Imagem: divulgação/Microsoft)

Microsoft quer que você não use atenticação em duas etapas via SMS (Imagem: divulgação/Microsoft)

A recomendação vem diretamente de Alex Weinert, diretor de segurança de identidade na empresa. Para Weinert, este tipo de autenticação, junto do envio do código por chamada telefônica, está na lista das confirmações de identidade menos seguras do mercado atual.

O executivo elenca alguns dos riscos para a autenticação via SMS, como a forma de envio das mensagens. Weinert diz que a concepção das mensagens de texto não previu qualquer tipo de criptografia e isso persiste até hoje, então o código acaba viajando de forma aberta para quem conseguir ler.

“O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comunicação, ou está dentro do alcance de rádio de um dispositivo”, diz o executivo. “Infelizmente, os agentes de suporte ao cliente (da operadora) são vulneráveis a coerção, suborno ou extorsão. Se esses esforços de engenharia social funcionarem, o suporte pode fornecer acesso ao SMS e canal de voz”, completa Weinert.

Outros métodos de acesso incluem a troca do número de telefone para outro SIM card, permitindo o envio do código por SMS ou chamada de voz para outra pessoa. Este exemplo é utilizado em clonagem de mensageiros, como no caso do WhatsApp.

Qual autenticação utilizar no lugar do SMS?

Alex Weinert, que trabalha para a Microsoft, sugere o uso da ferramenta em aplicativo da própria empresa, o Microsoft Authenticator, mas existem outros no mercado. A lista inclui soluções online como 1password e Authy, ou então que funcionam localmente como é o caso do Google Authenticator.

Todos os métodos funcionam em smartphones, com alguns deles indo para extensões de navegadores do PC.

Com informações: Microsoft.

Comentários da Comunidade

Participe da discussão
11 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Everton Favretto (@evefavretto)

Pra quem leva segurança a sério (e estiver com dinheiro sobrando, por que já viu o dólar), Yubikey (e concorrentes similares) são uma opção maravilhosa também. A Microsoft dá suporte, e nem precisa sequer digitar login.

Andre Kittler (@Andre_Kittler)

Então o hacker obtem teu email e senha, clona o telefone e com o 2 factor e acessa o site.
Para acontecer isso comigo acho que é, estatisticamente, mais fácil eu ganhar na sena. Mas, claro, tenha em mente que eu não sou … sou… caralho, que tipo de pessoa no brasil vale a pena para um hacker ir assim ao fundo?

Espero que mais de 90% (99?) nem 2 factor usa. Que hacker sem o que fazer, porra!

@wellerstz

enquanto isso a Sony não disponibiliza 2FA por aplicativo, só SMS

LekyChan (@LekyChan)

ela não é a unica, tem muita empresa que só fornece opção de SMS ou email.

@evefavretto só estou esperando a yubico lançar a BIO para atualizar minha yubikey, pois ela é FIDO 1 ainda, ai não rola na conta microsoft =/

Everton Favretto (@evefavretto)

@LekyChan saiu esses dias mais informações.

@wellerstz

infelizmente

tem um site (que não lembro o nome) que ele listava os demais sites que tinham 2FA e qual tipo, seria legal se meu gerenciador de senhas adotasse algo parecido tipo: “hey, vc não usa 2FA nesse site mas ele disponibiliza, que tal adotar?”

Felipe Ventura (@felipe)

Deve ser este:

Marcelo Juliani (@mjuliani)

O 1Password faz isso

@wellerstz

verdade, não sabia disso, muito legal! espero que o enpass adote isso logo

Igor (@Spetto)

Sempre dou preferência para 2FA via app mesmo, então está tranquilo. O maior problema para mim é que estou meio que “preso” ao Google Authenticator. Motivo? Alguns sites não aceitam os códigos gerados por outros apps (inclusive aqui na Comunidade do Tecnoblog), nem mesmo o da Microsoft funciona em todos. Já cheguei a fazer um teste com o Authy, o Aegis, o app da Microsoft e o do Google, todos os 4 instalados no mesmo dispositivo com o mesmo QR Code, e o único código aceito foi o gerado pelo app do Google.

Mateus B. Cassiano (@mbc07)

Se só o Google Authenticator funciona, muito provavelmente o relógio do seu aparelho tá adiantado/atrasado, e isso afeta os códigos gerados. O app do Google escapa desse problema por usar um relógio próprio, independente do relógio do sistema…

Anderson Ramos (@Anderson_Ramos)

Eu uso o Google authenticator. Muito bom. Tenho várias contas com verificação em dois passos nele. Sem dúvidas o melhor serviço que o Google possui. Uma pena que mal divulgado. Não gostei do da Microsoft.

Vítor Gomes (@vctgomes)

Eu até entendo a falha de segurança dos SMSs, mas não arrisco desativar no meu. Se eu perder o meu celular, por exemplo, como faria pra entrar na minha a conta?

LekyChan (@LekyChan)

Por isso o ideal é o site/app oferecer mais de uma opção de 2FA, aqui na comunidade mesmo é possível ter cadastrado tanto um app de senha quanto uma chave física.