A autenticação em duas etapas tem sido apontada como uma boa escolha na hora de proteger contas e serviços, mas especialistas apontam que, ao contrário do que muita gente pensa, esse método não é infalível. Principalmente se o segundo fator, o código de segurança, for entregue via SMS.
“Mensagens SMS não são a melhor maneira de fazer isso. Depender do celular como um meio de autenticação pode ser uma engenharia social fora de seu controle”, explica o pesquisador de segurança e forense especialista Jonathan Zdziarski. “Se essa transação está acontecendo, ela pode ser interceptada. E isso significa que você está potencialmente em algum nível de risco”, conta.
No início do mês, o ativista DeRay McKesson descobriu que sua conta no Twitter havia sido hackeada, mesmo contando com a autenticação em duas etapas. Segundo ele, os invasores contataram sua operadora de telefonia e convenceram a empresa de redirecionar suas mensagens de texto para um cartão SIM diferente.
Como se pode perceber, esse tipo de ataque não é tão fácil de ser realizado, e exige que o invasor saiba o número de telefone do usuário, além da senha roubada. Ainda assim, a possibilidade existe.
Em um comunicado, o Twitter afirmou que está “explorando maneiras adicionais que as contas permanecem seguras”, ou seja, em breve a plataforma pode adicionar um novo tipo de autenticação.
Já existem serviços que oferecem tokens físicos com códigos que mudam em poucos segundos. Outras opções garantem que o usuário comprove sua identidade sem precisar digitar qualquer código.
Via Wired