Há pouco tempo nós republicamos uma matéria do iMasters a qual falava sobre a insegurança da autenticação de duas etapas, principalmente quando entregue por SMS1Short Message Service, ou serviço de mensagens curtas.. Mostrando que o tema merece uma reavaliação, o Instituto Nacional dos Estados Unidos para Padrões e Tecnologia (US National Institute for Standards and Technology) está rascunhando as novas orientações para autenticação online e se preparando para se livrar dos códigos de confirmação entregues pelo serviço de mensagens curtas.
Conforme informou a CNET, a verificação por SMS é relativamente insegura por alguns motivos simples: o telefone em questão pode não estar nas mãos do seu dono, a mensagem pode ser interceptada/sequestrada por um serviço de voz sobre IP (VoIP), entre outras coisas. Assim, a ideia é que o SMS seja substituído por métodos mais seguros e modernos, sendo sumariamente banido das orientações do instituto.
Alguns métodos atuais, porém, podem continuar sendo utilizados, como a entrega da mensagem por um aplicativo seguro (que requer algum tipo de autenticação), por confirmação biométrica (alô, Touch ID!), entre outras.
Atualmente, a Apple utiliza o SMS como forma de entrega de códigos de verificação tanto na verificação de duas etapas quanto na autenticação de dois fatores2A autenticação de dois fatores é método de segurança aprimorado e integrado diretamente ao iOS 9 e ao OS X El Capitan; aos poucos, ela deverá substituir a verificação de duas etapas.. É verdade que o usuário também pode receber os códigos pelas notificações push, mas se essa orientação do instituto rebaixar o SMS a algo não-confiável (e tudo indica que isso será mesmo feito), a Apple muito provavelmente promoverá mudanças em seus sistemas de segurança.
Notas de rodapé
- 1Short Message Service, ou serviço de mensagens curtas.
- 2A autenticação de dois fatores é método de segurança aprimorado e integrado diretamente ao iOS 9 e ao OS X El Capitan; aos poucos, ela deverá substituir a verificação de duas etapas.