autenticação em dois passos

As senhas são amplamente difundidas em todo o planeta para o acesso a todos os tipos de serviços, e suas limitações pareciam estar aliviadas com os sistemas de autenticação de dois passos. Essa capa adicional de segurança tem uma vulnerabilidade bem séria, através do SMS utilizado para enviar o código de segurança para acesso.

 

A Google oferece uma alternativa

Um dos problemas das mensagens SMS é que a engenharia social pode funcionar. Um ativista político que usava esse sistema de autenticação em dois passos se deu conta que na sua conta do Twitter apareciam mensagens a favor de Donald Trump, e se deu conta que sua conta na rede social foi hackeada.

O hacker obteve sua conta de usuário e senha se passando pelo ativista na sua operadora de telefonia móvel, conseguindo redirecionar suas chamadas e mensagens para outro número de celular.

seguranca o que você sabe

A autenticação de dois passos se baseia em um princípio bem simples: combinar “algo que só você sabe” (sua senha) com “algo que só você tem” (seu celular, sua digital, sua íris). O problema é que o segundo item da equação não é 100% pessoal, já que as mensagens SMS podem ser interceptadas ou redirecionadas.

A Google – que já tinha o Authenticator para esta capacidade – solucionou parte do problema na semana passada, ao lançar o Google Prompt, um sistema que faz com que essa verificação não seja enviada através de mensagens SMS, mas sim a partir de servidores da Google, algo que torna mais complexa a interceptação.

Há outros sistemas – como os geradores de tokens usados por alguns bancos -, mas a proposta da Google é especialmente interessante a longo prazo. Pode ser que outros serviços acabem aproveitando a mesma ideia e adotando o sistema.

Via Wired