Clinica Crescer

Twitter libera autenticação de duas etapas sem torpedo SMS

Senha temporária recebida por mensagem o é mais vulnerável que outros métodos de autorização. Rede social não vai mais exigir cadastramento de número [...]

Por Redação em 22/11/2019 às 18:19:57


Senha temporária recebida por mensagem o é mais vulnerável que outros métodos de autorização. Rede social não vai mais exigir cadastramento de número de telefone para reforçar a segurança do perfil.

REUTERS/Kacper Pempel

O Twitter anunciou que usuários agora podem configurar a verificação em duas etapas sem cadastrar um número de telefone, utilizando apenas senhas geradas em um aplicativo de autenticação ou em chaves USB.

A medida pode melhorar a proteção da conta do Twitter, impedindo os ataques de "SIM swap" (troca de chip).

Entenda como hackers atuam para interceptar mensagens SMS

A verificação em duas etapas ou autenticação multifator (também chamada de "2FA" ou "MFA", pelas siglas em inglês) é uma medida de segurança oferecida por diversos serviços on-line. Ela impõe uma segunda etapa de login, exigindo um código de autorização temporário que pode ser recebido por SMS, gerado em um aplicativo terceiro ou ainda fornecido por uma chave, conectada por NFC (sem fio) ou USB.

Em serviços que já utilizam o SMS como mecanismo de autenticação (como é o caso do WhatsApp e do Telegram), a autenticação em duas etapas retoma o método tradicional de acesso, com senha.

O objetivo da medida é dificultar a invasão das contas, já que obriga um possível hacker a roubar dois métodos de autenticação. Como uma das senhas é temporária ou física, é bem mais difícil concretizar o ataque.

O envio do código temporário por SMS é o método preferido por muitos serviços, mas essa modalidade de proteção tem se tornado ineficiente.

Riscos do uso de SMS

Embora códigos recebidos por SMS tenham criado um obstáculo para os criminosos, essa barreira não é mais intransponível. Para obter os códigos, os hackers utilizam os golpes de SIM swap (troca de chip) e manipulação de SS7.

A troca de chip acontece quando um criminoso obtém os dados pessoais da vítima ou a colaboração de funcionários das operadoras para cadastrar a linha da vítima em um novo chip. Quando isso ocorre, o telefone da vítima é desconectado da rede celular, encaminhando todas as chamadas e mensagens para o celular que estiver com o chip em que ela foi cadastrada.

Esse tipo de golpe viabilizou um acesso indevido à infraestrutura do site Reddit e o roubo de milhões de dólares em criptomoedas nos Estados Unidos, o que rendeu um processo contra a operadora AT&T.

A manipulação de SS7, por sua vez, é uma consequência da maneira que as operadoras "conversam" entre si para compartilhar suas redes e permitir a conectividade em roaming (fora da rede da operadora). Um hacker que conseguir acessar essa rede para interferir em seu funcionamento pode interceptar uma mensagem SMS, o que daria acesso ao código temporário da autenticação em duas etapas.

No fim de agosto, o presidente do Twittter, Jack Dorsey, foi vítima de um ataque com base em SMS. Na ocasião, um invasor conseguiu publicar tuítes no perfil de Dorsey.

Alternativas ao SMS

Para evitar os riscos SMS, no Twitter ou em outras redes, existem alguns métodos alternativos:

Geração de senha em aplicativo. Com essa tecnologia, o usuário cadastra um código QR em um aplicativo no celular, que vai gerar senhas temporárias a partir da chave nele contida. Esse método é suportado por quase todos os serviços, inclusive o Twitter.

Autorização em dispositivo confiável. Quando o usuário quer fazer login em um novo dispositivo, esse acesso pode ser autorizado a partir de um dispositivo já cadastrado. O WordPress, o Google, a Apple e o Facebook estão entre os serviços que suportam este método.

Chave FIDO/U2F. Essas são chaves conectadas por USB ou NFC (conexão sem fio por proximidade). Elas precisam ser compradas separadamente. Esse método é suportado por alguns serviços, como Google e Twitter.

Ligação telefônica. Alguns serviços permitem receber códigos de autorização por ligação telefônica, mas este método também é considerado inseguro por conta da possibilidade de acesso à caixa de mensagens de voz do usuário. O Telegram é um serviço que limitou a autenticação por ligação telefônica por causa da baixa segurança.

Sempre que um método não for utilizado, o ideal é que o serviço permita desativá-lo. Quanto mais métodos forem aceitos, mais possibilidades um hacker terá para invadir a conta.

Embora o Twitter já permitisse cadastrar outros métodos de autenticação, ele não permitira fazer isso sem um número de telefone, o que mantinha o usuário vulnerável a fraudes no SMS, mesmo que essa opção não fosse usada regularmente para o acesso à rede.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Fonte: G1

Tags:   G1
Una Extintores Cajazeiras-PB
Cajazeiras Gesso

Comentários

Dentista do Brasil