A Microsoft quer que você pare de receber códigos 2FA pelo telefone
É sempre uma boa ideia proteger suas contas com algum tipo de autenticação de 2 fatores (2FA), mas nem todos os métodos são iguais. Embora o SMS e as ligações telefônicas 2FA já existam há muito tempo, a Microsoft diz que é hora de desligarmos e passarmos para tecnologias melhores.
O que a Microsoft disse sobre o SMS 2FA?
Alex Weinert, o Diretor de Segurança de Identidade da Microsoft, fez uma postagem no site da Comunidade de Tecnologia . Ele discute o estado atual dos métodos de autenticação multifator e por que o 2FA de texto e voz não é tão forte quanto antes.
Em primeiro lugar, a 2FA baseada em telefone não pode se adaptar a ataques tão bem quanto a outras tecnologias. Se um hacker encontra uma maneira de explorar SMS ou chamadas telefônicas, você não pode ajustar como essas tecnologias funcionam para protegê-los.
Além disso, as chamadas e mensagens SMS não podem ser criptografadas sem um aplicativo especial. Se um hacker conseguir acessar suas chamadas ou mensagens, ele poderá obter todas as informações de que precisa com muito pouco esforço adicional.
Receber uma chamada ou mensagem de texto também depende muito da qualidade da sua rede móvel. Se você estiver em uma área com serviço irregular, pode ser difícil receber o código.
Pior ainda, as mensagens SMS são "dispare e esqueça", o que significa que o remetente não tem como ver se as mensagens estão chegando ao telefone do cliente. Ele apenas envia a mensagem de texto e espera que o cliente tenha entendido bem.
Para completar, a 2FA por telefone usa um sistema de suporte ao cliente para fazer o backup. As pessoas que trabalham no suporte ao cliente podem ser enganadas ou coagidas por hackers a permitir o acesso ao telefone 2FA, garantindo-lhes o acesso.
Alex Weinert afirma que não quer parecer que não gosta de 2FA. Ele acha que é uma parte essencial da segurança online de qualquer pessoa. Acontece que a 2FA que depende de serviços telefônicos é falha, e alternativas mais fortes devem ser usadas.
Os métodos 2FA baseados no telefone estão realmente desatualizados?
Alex faz um ponto fantástico com sua postagem. Quando a 2FA começou a fazer sucesso na Internet, a certificação por telefone era uma das maneiras mais fáceis e rápidas de alguém proteger sua conta.
Hoje em dia, porém, SMS e chamadas telefônicas não são tão boas como costumavam ser. Por um lado, o e-mail 2FA é simples e eficaz, pois você pode proteger uma conta de e-mail com uma senha forte e usar um serviço de e-mail criptografado para proteger suas mensagens.
Não só isso, mas existem aplicativos e serviços que geram códigos 2FA para você. Não há necessidade de enviar um para você; basta abrir o aplicativo e ver qual é o código atual e você está pronto para começar. Esses aplicativos podem ser protegidos por meio de biometria ou senhas.
Em essência, Alex acertou em cheio. Embora 2FA seja importante, SMS e chamadas telefônicas são alguns dos métodos mais fracos e menos convenientes para atingir esse objetivo.
Tornando 2FA ainda mais forte
Embora 2FA seja importante, a Microsoft acredita que existem maneiras melhores de proteger sua conta do que usar SMS e chamadas telefônicas. Conforme a tecnologia 2FA continua a se desenvolver, receber um código via texto pode se tornar um passatempo há muito perdido.
Claro, a Microsoft não foi a primeira a ter essa ideia. Existem muitas razões para parar de usar o SMS 2FA e adotar tecnologias como chaves U2F.
Crédito de imagem: vladwel / Shutterstock.com
