O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST, na sigla em inglês, uma espécie de ABNT do país) lançou hoje a última versão de suas Diretrizes de Autenticação Digital (DAG na sigla em inglês). O documento sugere que sistemas de dupla autenticação que usem mensagens SMS, como é o caso do WhatsApp, não serão mais considerados seguros no futuro.
De acordo com a NIST, que redigiu o documento, “sistemas de autenticação com SMS estão defasados, e poderão não ser mais permitidos em futuras versões dessa diretriz”. O Instituto considera que essa técnica não é segura por causa do risco de o celular que recebe o SMS ser roubado ou extraviado. Nesse caso, uma pessoa não autorizada poderia receber a mensagem.
Além disso, o instituto considera também que a existência de serviços de telefonia pela internet (ou VoIP) podem colocar esse sistema em risco. Isso porque alguns serviços VoIP têm vulnerabilidades que permitiriam que uma mensagem SMS fosse interceptada. Com isso, o código de autenticação poderia ir parar nas mãos de um usuário não autorizado.
Consequências
A DAG, de acordo com a Softpedia, é um documento usado por fabricantes de software para criar serviços seguros. Governos e agências reguladoras também utilizam o DAG para avaliar a segurança dos programas e serviços que utilizam. Por esse motivo, se o documento desencorajar o uso desse sistema, é provável que ele desapareça em pouco tempo, ao menos nos EUA.
Trata-se de uma mudança notável, já que aplicativos populares como o WhatsApp e o Telegram usam esse tipo de autenticação. Após se inscrever, o usuário informa um número de celular que deve receber um código via SMS. O código é então utilizado para permitir o acesso à conta. Esse sistema, segundo o Cnet, também é usado por serviços como o Gmail para casos como recuperação de conta.
Por outro lado, a DAG incentiva o uso de outros aplicativos seguros (como apps dedicados de sistemas bancários) ou de biometria (como impressões digitais) para sistemas de dupla autenticação. Segundo o documento, “o uso de biometria é suportado, com os seguintes requisitos e diretrizes: biometria DEVERÁ ser usada com outro fator de autenticação (algo que você sabe ou algo que você tem)”.