Na busca pela segurança perfeita, o perfeito pode ser inimigo do bom, isso por ainda existirem críticas ao modelo de autenticação por dois fatores utilizando mensagens SMS, possivelmente não levando em consideração ser muito melhor algum tipo de autenticação como por SMS do que não utilizar autenticação nenhuma.

Podemos acreditar que os profissionais de segurança condenando a autenticação SMS terem grandes chances de estarem equivocados. Uma numerosa quantidade de usuários do Gmail continuam sem utilizar a autenticação por dois fatores, ainda que a [ apresentação ] seja de 2018 feita no USENIX Enigma pelo engenheiro do Google Grzegorz Milka. É um comportamento que as pessoas deveriam ter para melhorar a proteção digital, habilitando qualquer tipo de autenticação por dois fatores para suas contas de acesso.

Num exemplo para comparação considere proteger a porta da frente de sua casa, instalando uma fechadura, entretanto os especialistas em segurança digital argumentam sobre o tipo de bloqueio disponível ser muito melhor do que os mais baratos. Ainda que faça todo sentido, sendo um modelo indisponível para você, não é melhor instalar a que tem a disposição do que ficar sem nenhuma fechadura !?

Da mesma maneira a autenticação por dois fatores baseada em aplicativo, ainda que melhor do que a autenticação baseada em SMS, sendo essa tudo o que o serviço possa oferecer prevalece como a melhor solução, ao invés de não ter nenhuma.

É prudente lembrar de alguns pontos fracos na utilização da autenticação por SMS, ainda que perdendo a relevância, como o tempo perdido pelo criminoso enquanto ignora os avisos enviados de autenticação afinal. a maioria dos alvos possivelmente não vale o esforço necessário.

Mais de 90% dos usuários do Gmail não usam a autenticação de dois fatores

imagem1

Por que autenticação de dois fatores é tão importante:

A autenticação de dois fatores tem esse nome justamente por requerer que você responda duas validações para permitir o acesso à sua conta: a primeira verificação conhecida como senha, a segunda através de outra condição que inicialmente apenas você possa responder como um código enviado ao seu dispositivo móvel ou um token por dispositivo físico.

Assim que ativar a autenticação por dois fatores por envio de SMS, o serviço enviará ao número de telefone celular cadastrado uma mensagem de texto contendo um código único e aleatório sempre que entrar num novo dispositivo. Desta maneira, mesmo que consigam seu nome de usuário (geralmente um e-mail) e a para essa conta, o invasor não poderá concluir o acesso à conta por não receber as mensagens de confirmação por texto.

Os métodos de confirmação reforçada possuem outras variações, incluindo um aplicativo instalado no smartphone produzindo temporários códigos de segurança e dispositivos físicos de permissão, geralmente flash drives, conectados ao computador.

A simples ativação da autenticação por dois fatores passa a fornecer uma generosa proteção para as contas que possui como das mídias sociais, correio eletrônico e bancos digitais. Numa época com a necessidade de inúmeras senhas, sua utilização facilita a repetição dela em outros serviços – mesmo não indicado – pela dificuldade tanto de elaborar quanto memorizar tantas informações. Novamente, é importante evitar repetir exaustivamente as senhas principalmente em serviços com grandes interesse pelos criminosos, uma vez que ocorra a invasão e vazamento delas, as tentativas de acesso pelos criminosos serão quase imediata, ainda que a autenticação por dois fatores proteja o acesso não autorizado é prudente numa alternativa variar relativamente a combinação ou utilizar um bom gerenciador de senhas para proteger as de maior prejuízo se não pretender armazenar todas elas.

Razões que explicam a autenticação por SMS ser considerada ruim:

imagem2

A autenticação por dois fatores utilizando SMS é considerada frágil pela possibilidade de clonagem do número de telefone ou interceptar as mensagens de texto, como exemplo:

  • Um criminoso pode se passar por você: Transferindo seu número de telefone para um novo aparelho num esquema de portabilidade de números de telefone, como fraude mais provável.
  • Um criminoso pode interceptar as mensagens SMS destinadas a você: Por exemplo falsificando uma torre de celular próxima a você ou até mesmo o governo utilizando seu acesso à rede de telefonia para encaminhar mensagens.

Motivos que fazem os especialistas em segurança digital recomentar utilizar outro método de validação por dois fatores, preferencialmente aquele que não possa ser facilmente interceptado e não seja vulnerável se sua operadora de celular fornecer o número de telefone para outras pessoas. Se você obtém o código por um aplicativo em seu telefone ou por uma chave de segurança física, está utilizando um fator duplo de autenticação não vulnerável a problemas com a rede telefônica. O criminoso precisará do seu aparelho telefônico desbloqueado ou o dispositivo físico de chave de segurança para conseguir acessar sua conta.

A segurança fornecida pela autenticação por SMS não é suficiente para algumas pessoas:

É possível ficar um pouco mais tranquilo depois de ativar a autenticação por SMS enquanto não possui uma proteção melhor. Ainda que questionada, a autenticação por SMS causa mais problemas para os criminosos ao tentarem invadir suas contas digitais, desmotivando a persistência quando possuem outras potenciais vítimas sem qualquer tipo de proteção ativa, além das senhas de acesso. Enquanto a maioria dos usuários permanece sem proteções adicionais contra invasão, o ambiente de internet permanece como terreno fértil para ações criminosas como essa.

Pessoas que provavelmente serão alvo de invasores sofisticados devem evitar a autenticação:

Alguns perfis de usuários não devem utilizar a autenticação baseada em SMS, como exemplo quando for um político, (pseudo)celebridades, profissionais da imprensa ou executivos de qualuer nível em corporações de destaque ou não. Indivíduos que possuem acesso a informações corporativos sigilosas, administradores de sistemas com amplo acesso a ambientes confidenciais ou aqueles com grandes vultas depositas em contas bancárias, são condições que tornam a validação por SMS muito arriscada, devendo esses realmente investirem em alternativas mais confiáveis ou se possível, não fazer uso dos serviços que não tenham melhores mecanismos de segurança.

De outra maneira, usuários de serviços famosos como Gmail, Twitter, Instagram e Facebook embora sejam desconhecidos pelos criminosos, por conta dos serviços terem grande relevância é altamente recomendável a ativação da autenticação por duas etapas utilizando o SMS, como as vítimas são geralmente as últimas a saber sobre vazamento de informações sigilosas, elas terão um mínimo de proteção adicional contra invasões ao ativarem o acesso por dos fatores por SMS.

Suas contas estão tão seguras quanto o elo mais fraco:

imagem3

A afirmação acima é outra infeliz verdade que aparenta ser ignorada por muitos : mesmo que evitem a autenticação por dois fatores baseada em SMS para suas contas , a autenticação por SMS estará provavelmente ativada como um método de fallback. Como exemplo na geração de códigos por um aplicativo para efetuar o acesso a uma conta no Google, a conta pode ser recuperada utilizando o número de telefone cadastrado, funcionando como proteção em casos onde perca acesso ao token por dois fatores, o telefone ou acesso a ele

De outra forma, diversos e possivelmente a maioria dos serviços permitem o acesso às contas com a validação pelo telefone celular ou smartphone, mesmo quando utiliza um código gerado por aplicativo ou na maioria das vezes a chave de segurança física. Ficando tão seguro quanto o elo mais fraco do sistema de acesso, momento para pesquisar por outras maneiras de efetuar o acesso quando não tenha o acesso normal.

Por motivos assim que para comprovadamente bloquear uma conta do Google, não é necessário apenas evitar a autenticação em duas etapas por SMS. É mandatória a inscrição no [ Programa de Proteção Avançada do Google ] sendo a prática do Google para “ativistas, jornalistas, equipes de campanha política e líderes empresariais” consistindo num programa gratuito que necessita utilizar uma chave física de segurança física para acesso, por outro lado muito mais informações são solicitadas na necessidade de recuperação da conta.

Conclusão: Ative a autenticação por SMS se não estiver utilizando o recurso 2FA agora:

Diante de tantas possibilidades de ataques e invasões é realmente complicado entender qual a melhor maneira protetiva contra suas contas digitais, por outro lado mais arriscado ainda é desconhecer ou não ativar qualquer tipo de proteção que possa reforçar as barreiras contra tentativas de fraude a elas.

Ainda que o método de autenticação por SMS possua fraquezas globalmente conhecidas, que para determinados perfis de pessoas como acima apresentadas não seja recomendada, necessitando realmente de melhores mecanismos defensores, é imensamente recomendável aos demais usuários dos serviços, entre alguns também apresentados aqui, a configuração e utilização deste tipo de validação pois como foi apresentado ser muito melhor um mínimo de proteção à não ter qualquer opção complementar de segurança, mantendo-se apenas à senha.

 



A importância da autenticação de dois fatores por SMS ainda vale sua utilização
Iperius Backup Brasil
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************