Em uma publicação no blog da comunidade da Microsoft, o Diretor de Segurança de Identidade da empresa, Alex Weinert, faz um alerta sobre mecanismos de autenticação multifator (MFA). Segundo ele, “é hora de começar a se afastar dos mecanismos MFA de voz e SMS”.
Weinert reforça que o uso de mecanismos do tipo é essencial e eles devem ser usados. No entanto, SMS e chamadas de voz são, na sua visão, “os menos seguros dos métodos de MFA disponíveis hoje”. Ele também diz que esse movimento pode se tornar ainda pior com a adoção de MFA em massa, o que também pode atrair o interesse dos invasores em quebrar os métodos.
Os mecanismos de autenticação multifator são utilizados na indústria para logins e confirmar identidades, na maioria dos casos. É, por exemplo, o código SMS utilizado pelo WhatsApp para confirmar que é o próprio usuário utilizando um novo dispositivo. No entanto, os códigos são costumeiramente visados por cibercriminosos em ataques de engenharia social.
Qual o método mais seguro?
Weinert explica que um dos principais problemas é com as redes telefônicas. Tanto o SMS quanto as ligações de MFA utilizam o padrão PSTN (rede pública de telefonia comutada). Desta forma, os códigos são limitados pelo formato das comunicações e não são adaptáveis às novas tecnologias.
Diretor da Microsoft esclarece que o MFA é essencial, mas que é preciso utilizar métodos mais avançados. Imagem: Shutterstock/Reprodução
“Infelizmente, os sistemas PSTN não são 100% confiáveis e os relatórios não são 100% consistentes”, disse. Isso porque existem características que podem influenciar o tempo para receber uma mensagem, que varia de uma operadora para outra e também de região, além da baixa taxa de entrega do SMS.
Outro problema também está no protocolo de voz e SMS, que não foi desenvolvido com base em criptografia. Assim, a comunicação pode ser interceptada de diversas maneiras, como utilizando um serviço de espionagem de tráfego. Além disso, os métodos são limitados em relação ao conteúdo das informações em termos de quantidade.
Desta forma, Weinert reforça, mais uma vez, que é preciso usar um método de autenticação, mas não códigos enviados por SMS ou via chamada de voz. Para a maioria dos usuários, “acreditamos que a resposta certa é a autenticação baseada em aplicativo”.