Tecnologia

Twitter libera autenticação de duas etapas sem torpedo SMS: Veja

Senha temporária recebida por mensagem o é mais vulnerável que outros métodos de autorização.

O Twitter anunciou que usuários agora podem configurar a verificação em duas etapas sem cadastrar um número de telefone, utilizando apenas senhas geradas em um aplicativo de autenticação ou em chaves USB.

A medida pode melhorar a proteção da conta do Twitter, impedindo os ataques de “SIM swap” (troca de chip).

A verificação em duas etapas ou autenticação multifator (também chamada de “2FA” ou “MFA”, pelas siglas em inglês) é uma medida de segurança oferecida por diversos serviços on-line. Ela impõe uma segunda etapa de login, exigindo um código de autorização temporário que pode ser recebido por SMS, gerado em um aplicativo terceiro ou ainda fornecido por uma chave, conectada por NFC (sem fio) ou USB.

Em serviços que já utilizam o SMS como mecanismo de autenticação (como é o caso do WhatsApp e do Telegram), a autenticação em duas etapas retoma o método tradicional de acesso, com senha.

O objetivo da medida é dificultar a invasão das contas, já que obriga um possível hacker a roubar dois métodos de autenticação. Como uma das senhas é temporária ou física, é bem mais difícil concretizar o ataque.

O envio do código temporário por SMS é o método preferido por muitos serviços, mas essa modalidade de proteção tem se tornado ineficiente.

Riscos do uso de SMS

Embora códigos recebidos por SMS tenham criado um obstáculo para os criminosos, essa barreira não é mais intransponível. Para obter os códigos, os hackers utilizam os golpes de SIM swap (troca de chip) e manipulação de SS7.

A troca de chip acontece quando um criminoso obtém os dados pessoais da vítima ou a colaboração de funcionários das operadoras para cadastrar a linha da vítima em um novo chip. Quando isso ocorre, o telefone da vítima é desconectado da rede celular, encaminhando todas as chamadas e mensagens para o celular que estiver com o chip em que ela foi cadastrada.

Esse tipo de golpe viabilizou um acesso indevido à infraestrutura do site Reddit e o roubo de milhões de dólares em criptomoedas nos Estados Unidos, o que rendeu um processo contra a operadora AT&T.

A manipulação de SS7, por sua vez, é uma consequência da maneira que as operadoras “conversam” entre si para compartilhar suas redes e permitir a conectividade em roaming (fora da rede da operadora). Um hacker que conseguir acessar essa rede para interferir em seu funcionamento pode interceptar uma mensagem SMS, o que daria acesso ao código temporário da autenticação em duas etapas.

No fim de agosto, o presidente do Twittter, Jack Dorsey, foi vítima de um ataque com base em SMS. Na ocasião, um invasor conseguiu publicar tuítes no perfil de Dorsey.

Alternativas ao SMS

Para evitar os riscos SMS, no Twitter ou em outras redes, existem alguns métodos alternativos:

  • Geração de senha em aplicativo. Com essa tecnologia, o usuário cadastra um código QR em um aplicativo no celular, que vai gerar senhas temporárias a partir da chave nele contida. Esse método é suportado por quase todos os serviços, inclusive o Twitter.
  • Autorização em dispositivo confiável. Quando o usuário quer fazer login em um novo dispositivo, esse acesso pode ser autorizado a partir de um dispositivo já cadastrado. O WordPress, o Google, a Apple e o Facebook estão entre os serviços que suportam este método.
  • Chave FIDO/U2F. Essas são chaves conectadas por USB ou NFC (conexão sem fio por proximidade). Elas precisam ser compradas separadamente. Esse método é suportado por alguns serviços, como Google e Twitter.
  • Ligação telefônica. Alguns serviços permitem receber códigos de autorização por ligação telefônica, mas este método também é considerado inseguro por conta da possibilidade de acesso à caixa de mensagens de voz do usuário. O Telegram é um serviço que limitou a autenticação por ligação telefônica por causa da baixa segurança.

Sempre que um método não for utilizado, o ideal é que o serviço permita desativá-lo. Quanto mais métodos forem aceitos, mais possibilidades um hacker terá para invadir a conta.

Embora o Twitter já permitisse cadastrar outros métodos de autenticação, ele não permitira fazer isso sem um número de telefone, o que mantinha o usuário vulnerável a fraudes no SMS, mesmo que essa opção não fosse usada regularmente para o acesso à rede.
Etiquetas

DEIXAR UM COMENTÁRIO

Política de moderação de comentários: A legislação brasileira prevê a possibilidade de se responsabilizar o blogueiro ou o jornalista responsável por blogs e/ou sites e portais de notícias, inclusive quanto a comentários. Portanto, o jornalista responsável por este Portal de Notícias reserva a si o direito de não publicar comentários que firam a lei, a ética ou quaisquer outros princípios da boa convivência. Não serão aceitos comentários anônimos ou que envolvam crimes de calúnia, ofensa, falsidade ideológica, multiplicidade de nomes para um mesmo IP ou invasão de privacidade pessoal e/ou familiar a qualquer pessoa. Comentários sobre assuntos que não são tratados aqui também poderão ser suprimidos, bem como comentários com links. Este é um espaço público e coletivo e merece ser mantido limpo para o bem-estar de todos nós.
Botão Voltar ao topo

Adblock detectado

Por favor, considere apoiar-nos, desativando o seu bloqueador de anúncios