Notícias Antivírus e Segurança

Microsoft pede que você deixe de usar autenticação via SMS

A Microsoft elenca alguns riscos para o SMS em autenticação como a falta de criptografia e a interceptação da mensagem enviada

André Fogaça
Por

As melhores ofertas,
sem rabo preso

A Microsoft está tentando te convencer de que a autenticação em duas etapas é boa, desde que ela não aconteça com uso de mensagens SMS – e ela está certa. Segundo um executivo da gigante do software, mensagens de texto podem ser interceptadas e não oferecem nenhuma proteção, como criptografia.

Autenticação em duas etapas (Imagem: divulgação/Microsoft)

Microsoft quer que você não use atenticação em duas etapas via SMS (Imagem: divulgação/Microsoft)

A recomendação vem diretamente de Alex Weinert, diretor de segurança de identidade na empresa. Para Weinert, este tipo de autenticação, junto do envio do código por chamada telefônica, está na lista das confirmações de identidade menos seguras do mercado atual.

O executivo elenca alguns dos riscos para a autenticação via SMS, como a forma de envio das mensagens. Weinert diz que a concepção das mensagens de texto não previu qualquer tipo de criptografia e isso persiste até hoje, então o código acaba viajando de forma aberta para quem conseguir ler.

“O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comunicação, ou está dentro do alcance de rádio de um dispositivo”, diz o executivo. “Infelizmente, os agentes de suporte ao cliente (da operadora) são vulneráveis a coerção, suborno ou extorsão. Se esses esforços de engenharia social funcionarem, o suporte pode fornecer acesso ao SMS e canal de voz”, completa Weinert.

Outros métodos de acesso incluem a troca do número de telefone para outro SIM card, permitindo o envio do código por SMS ou chamada de voz para outra pessoa. Este exemplo é utilizado em clonagem de mensageiros, como no caso do WhatsApp.

Qual autenticação utilizar no lugar do SMS?

Alex Weinert, que trabalha para a Microsoft, sugere o uso da ferramenta em aplicativo da própria empresa, o Microsoft Authenticator, mas existem outros no mercado. A lista inclui soluções online como 1password e Authy, ou então que funcionam localmente como é o caso do Google Authenticator.

Todos os métodos funcionam em smartphones, com alguns deles indo para extensões de navegadores do PC.

Com informações: Microsoft.

André Fogaça

Ex-autor

André Fogaça é jornalista e escreve sobre tecnologia há mais de uma década. Cobriu grandes eventos nacionais e internacionais neste período, como CES, Computex, MWC e WWDC. Foi autor no Tecnoblog entre 2018 e 2021, e editor do Meio Bit, além de colecionar passagens por outros veículos especializados.

Mais Populares

Responde

Relacionados

Em destaque