Segundo o NIST Autenticação de dois fatores baseada em SMS é inseguro
28 de julho de 2016Os fatores de autenticação
Por Regina Tupinambá
O segundo fator de autenticação – Two-Factor Authentication (2FA), baseado em SMS foi declarado inseguro pelo Instituto Nacional de Padrões e Tecnologia (NIST) e logo pode ser uma coisa do passado.
O segundo fator de autenticação ou 2FA adiciona um passo extra de entrar um código de acesso aleatório enviado ao usuário por meio de um SMS como uma camada adicional de proteção.
Mas, o Instituto Nacional de Padrões e Tecnologia (NIST) lançou um novo projeto DAG “Digital Authentication Guideline” onde conclui que a autenticação de dois fatores baseada em SMS deve ser proibida no futuro, devido a preocupações de segurança.
Devido ao aumento de violações de dados, autenticação de dois fatores tornou-se uma prática comum nos dias de hoje. Muitos serviços estão oferecendo 2FA baseada em SMS para os seus consumidores, apenas para garantir que hackers precisariam de mais um desafio além das senhas.
No entanto, o NIST argumenta que a autenticação de dois fatores baseada em SMS é um processo inseguro, porque é muito fácil para qualquer um obter um telefone e o operador da aplicação não tem como verificar se a pessoa que recebe o código 2FA é o destinatário correto.
Na verdade, autenticação de dois fatores baseada em SMS também é vulnerável a sequestros, se o indivíduo utiliza um serviço de voz sobre protocolo de internet (VoIP), que fornece serviço de chamada de telefone através de uma conexão de internet de banda larga, em vez de uma rede tradicional.
Uma vez que alguns serviços de VoIP permitir que o sequestro de mensagens SMS, os hackers ainda podem obter acesso às suas contas protegidas com autenticação de dois fatores baseada em SMS.
Além disso, as falhas de projeto de rede de telecomunicações global conhecido como Sistema de Sinal 7 também permitem que um atacante desvie o SMS contendo um código de acesso único (OTP) para o seu próprio dispositivo, que permite ao invasor sequestrar qualquer serviço, incluindo o Twitter, o Facebook ou o Gmail, que usa SMS para enviar o código secreto para redefinir a senha da conta.
O NIST Sugere a biometria para autenticação
O projeto da DAG observa que a autenticação de dois fatores através de um aplicativo seguro ou biometria, como um scanner de impressão digital, pode ainda ser usado para proteger suas contas.
“Portanto, o uso da biometria para a autenticação é suportado, os seguintes requisitos e diretrizes: biometria deve ser utilizado com outro fator de autenticação (algo que você sabe ou algo que você tem)”.
Além disso, muitas empresas de tecnologia como o Facebook e o Google oferecem gerador de código no aplicativo como uma solução alternativa para a autenticação de dois fatores, que não depende de SMS ou operadora de rede.
No mês passado, o Google fez a sua autenticação de dois fatores muito mais fácil e mais rápido através da introdução de um novo método chamado Google Prompt que usa uma notificação de envio simples, onde você só tem que tocar no seu smartphone para aprovar solicitações de login.
Fato é que a biometria vem ganhando mundialmente a atenção dos CIOs e CFOs em todos os segmentos econômicos como a solução do momento para resolver os problemas de autenticação forte. Pelo lado dos CIOs pela logística de implementação e robustez tecnológica e pelo lado dos CFOs pelas garantias legais, logística junto aos usuários, fator custo comparados com outras alternativas de autenticação, redução de tempo de atendimento, redução de despesas de suporte ao cliente e no campo jurídico porque podem definitivamente agregar o “não repúdio” às transações realizadas.
Quando falamos em biometria o que nos vem a mente quase que instantaneamente é a impressão biométrica das digitais (fingerprint).
Fingerprint é um dos muitos tipos de impressão biométrica e que já está sendo descartada por alguns segmentos justamente, porque assim como a íris, seu uso pressupõe o armazenamento da impressão digital em um banco o que nos faz regressar aos bancos de senhas.
É um segredo compartilhado e para ser roubado e usado para fins maliciosos é um passo de se descobrir como burlar o sistema leitor e muita gente se sente extremamente desconfortável em compartilhar suas digitais em sistemas de terceiros e outro fato que devemos considerar é que grande parte da população tem problema com o reconhecimento de suas digitais, portanto, é uma solução que não atende uma aplicação de amplitude de massa. Porém o sitema biométrico por impressão das digitais não deve ser uma tecnologia banida definitivamente. A biometria das digitais pode ser utilizada como um dos fatores de autenticação e em eventos não críticos.
Como você é?
A biometria comportamental vem ganhando muito espaço. Como você anda, como você olha, como você escreve, como você fala….
A biometria por voz é muito interessante por exemplo como fator de autenticação em call center. Sua utilização diminui consideravelmente o tempo de atendimento. Ganha o cliente e a empresa.
Estou particularmente impressionada com biometria por meio da assinatura manuscrita produzida em um dispositivo eletrônico. É uma solução muito simples e é um fator de autenticação que diz COMO VOCÊ É. Para completar: o que você sabe, o que você tem, o que você é e agora: como você é.
A assinatura manuscrita é única, só a própria pessoa reproduz com os fatores que são analisados biometricamente que são: pressão, velocidade, movimento aéreo, ângulo, aceleração e ritmo.
Essa é uma solução da empresa brasileira Formalizar. Vale a pena conhecer. A assinatura fica num banco de dados, mas ela só é válida se for capturada no exato momento da assinatura que é garantido por um carimbo do tempo da ICP-Brasil, ou seja, impossível de ser reproduzido por um falsário. A solução funciona em desktop e em smartphone.
É preciso agora que o mercado entenda que é necessário qualificarmos os inúmeros tipos de possibilidades de fatores de autenticação disponíveis como por exemplo, as impressões biométricas, e adequá-los a cada tipo de serviço, momento e perfil de consumidor.
Com muitas informações do The Hacker News
Formalizar e-signature é um dos patrocinadores do CRYPTO ID.