Microsoft pede que você deixe de usar autenticação via SMS

A Microsoft elenca alguns riscos para o SMS em autenticação como a falta de criptografia e a interceptação da mensagem enviada

André Fogaça
Por
• Atualizado há 2 anos e 4 meses
Autenticação em duas etapas (Imagem: divulgação/Microsoft)

Microsoft quer que você não use atenticação em duas etapas via SMS (Imagem: divulgação/Microsoft)

A Microsoft está tentando te convencer de que a autenticação em duas etapas é boa, desde que ela não aconteça com uso de mensagens SMS – e ela está certa. Segundo um executivo da gigante do software, mensagens de texto podem ser interceptadas e não oferecem nenhuma proteção, como criptografia.

A recomendação vem diretamente de Alex Weinert, diretor de segurança de identidade na empresa. Para Weinert, este tipo de autenticação, junto do envio do código por chamada telefônica, está na lista das confirmações de identidade menos seguras do mercado atual.

O executivo elenca alguns dos riscos para a autenticação via SMS, como a forma de envio das mensagens. Weinert diz que a concepção das mensagens de texto não previu qualquer tipo de criptografia e isso persiste até hoje, então o código acaba viajando de forma aberta para quem conseguir ler.

“O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comunicação, ou está dentro do alcance de rádio de um dispositivo”, diz o executivo. “Infelizmente, os agentes de suporte ao cliente (da operadora) são vulneráveis a coerção, suborno ou extorsão. Se esses esforços de engenharia social funcionarem, o suporte pode fornecer acesso ao SMS e canal de voz”, completa Weinert.

Outros métodos de acesso incluem a troca do número de telefone para outro SIM card, permitindo o envio do código por SMS ou chamada de voz para outra pessoa. Este exemplo é utilizado em clonagem de mensageiros, como no caso do WhatsApp.

Qual autenticação utilizar no lugar do SMS?

Alex Weinert, que trabalha para a Microsoft, sugere o uso da ferramenta em aplicativo da própria empresa, o Microsoft Authenticator, mas existem outros no mercado. A lista inclui soluções online como 1password e Authy, ou então que funcionam localmente como é o caso do Google Authenticator.

Todos os métodos funcionam em smartphones, com alguns deles indo para extensões de navegadores do PC.

Com informações: Microsoft.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
André Fogaça

André Fogaça

Ex-autor

André Fogaça é jornalista e escreve sobre tecnologia há mais de uma década. Cobriu grandes eventos nacionais e internacionais neste período, como CES, Computex, MWC e WWDC. Foi autor no Tecnoblog entre 2018 e 2021, e editor do Meio Bit, além de colecionar passagens por outros veículos especializados.

Relacionados

Como ativar autenticação de dois fatores no Twitter sem usar o SMS
Como ativar autenticação de dois fatores no Twitter sem usar o SMS
Como habilitar ADF no PS4 [Autenticação em Dois Fatores]
Como habilitar ADF no PS4 [Autenticação em Dois Fatores]
O que é SMS Classe 0?
O que é SMS Classe 0?
Como denunciar SMS no Android e iOS sem instalar nada
Como denunciar SMS no Android e iOS sem instalar nada
Como ativar verificação de duas etapas nos principais serviços que você usa
Como ativar verificação de duas etapas nos principais serviços que você usa
Como bloquear SMS no Android
Como bloquear SMS no Android
Como proteger a conta do Fortnite com 2FA [autenticação em duas etapas]
Como proteger a conta do Fortnite com 2FA [autenticação em duas etapas]
O que é e como usar autenticação de dois fatores
O que é e como usar autenticação de dois fatores
Microsoft descobre invasão de emails que burla autenticação em dois fatores
Microsoft descobre invasão de emails que burla autenticação em dois fatores
Como cancelar SMS Broadcast no Android
Como cancelar SMS Broadcast no Android