O Fim da Autenticação por SMS

O Governo dos EUA começa a abandonar autenticação de dois fatores via SMS. Entenda o porquê.

O envio de códigos de autenticação via SMS é extremamente popular. De bancos a redes sociais, é comum receber código de autenticação no celular via mensagem de texto. Mas este mecanismo pode estar com os dias contados.

A autenticação de dois fatores envolve sempre dois métodos diferentes usados em conjunto. Por exemplo, algo que você aabe (sua senha) mais algo que você possui (um token ou seu celular), ou ainda uma característica física pessoal (biometria).

O NIST, órgão que determina os padrões usados pelo governo dos EUA, lançou uma publicação sobre mecanismos de autenticação de dois fatores informando que não irá mais recomendar SMS como um dois meios autorizados. Isto significa que o governo deve começar a abandonar este mecanismo em favor de outras técnicas de autenticação de dois fatores e o resto do mercado pode seguir esta tendência.

O problema com o SMS é que ele é pouco seguro comparado com outros métodos e pode ser comprometido com facilidade, via interceptação e redirecionamento do SMS ou até mesmo via acesso simples ao dispositivo. Por exemplo, mesmo em um celular bloqueado por senha, um SMS recebido é mostrado na tela. E se o usuário saiu da sua mesa por alguns momentos e deixou seu celular à vista? Então agora um dos dois fatores de autenticação foi comprometido.

Estes mecanismos vem aos poucos sendo substituídos por outras técnicas de autenticação, em especial aquelas em conformidade com os padrões U2F (experiência de usuário com segundo fator) e UAF (experiência de usuário sem senha) da FIDO Alliance, organização que reúne diversos dos principais fabricantes do mercado de TI.

Autenticador sem senha certificado pela FIDO

Se suas ferramentas internas ou externas usam autenticação por SMS, agora é um bom momento para começar a avaliar alternativas mais seguras.