Início » Antivírus e Segurança » Microsoft pede que você deixe de usar autenticação via SMS

Microsoft pede que você deixe de usar autenticação via SMS

A Microsoft elenca alguns riscos para o SMS em autenticação como a falta de criptografia e a interceptação da mensagem enviada

André Fogaça Por

A Microsoft está tentando te convencer de que a autenticação em duas etapas é boa, desde que ela não aconteça com uso de mensagens SMS – e ela está certa. Segundo um executivo da gigante do software, mensagens de texto podem ser interceptadas e não oferecem nenhuma proteção, como criptografia.

Autenticação em duas etapas (Imagem: divulgação/Microsoft)

Microsoft quer que você não use atenticação em duas etapas via SMS (Imagem: divulgação/Microsoft)

A recomendação vem diretamente de Alex Weinert, diretor de segurança de identidade na empresa. Para Weinert, este tipo de autenticação, junto do envio do código por chamada telefônica, está na lista das confirmações de identidade menos seguras do mercado atual.

O executivo elenca alguns dos riscos para a autenticação via SMS, como a forma de envio das mensagens. Weinert diz que a concepção das mensagens de texto não previu qualquer tipo de criptografia e isso persiste até hoje, então o código acaba viajando de forma aberta para quem conseguir ler.

“O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comunicação, ou está dentro do alcance de rádio de um dispositivo”, diz o executivo. “Infelizmente, os agentes de suporte ao cliente (da operadora) são vulneráveis a coerção, suborno ou extorsão. Se esses esforços de engenharia social funcionarem, o suporte pode fornecer acesso ao SMS e canal de voz”, completa Weinert.

Outros métodos de acesso incluem a troca do número de telefone para outro SIM card, permitindo o envio do código por SMS ou chamada de voz para outra pessoa. Este exemplo é utilizado em clonagem de mensageiros, como no caso do WhatsApp.

Qual autenticação utilizar no lugar do SMS?

Alex Weinert, que trabalha para a Microsoft, sugere o uso da ferramenta em aplicativo da própria empresa, o Microsoft Authenticator, mas existem outros no mercado. A lista inclui soluções online como 1password e Authy, ou então que funcionam localmente como é o caso do Google Authenticator.

Todos os métodos funcionam em smartphones, com alguns deles indo para extensões de navegadores do PC.

Com informações: Microsoft.

Comentários da Comunidade

Participe da discussão
11 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Everton Favretto (@evefavretto)

Pra quem leva segurança a sério (e estiver com dinheiro sobrando, por que já viu o dólar), Yubikey (e concorrentes similares) são uma opção maravilhosa também. A Microsoft dá suporte, e nem precisa sequer digitar login.

@wellerstz

verdade, não sabia disso, muito legal! espero que o enpass adote isso logo