Mensagens de texto e autenticação de dois fatores: o que toda empresa deve saber

À medida que os criminosos se tornam mais diligentes em seus esforços para penetrar nas defesas dos usuários, as empresas devem se tornar mais ativas na manutenção da integridade de seus dados.

Os clientes, mais acostumados a apenas enviar um e-mail como se fosse pelo correio, podem reagir desconfortavelmente a quaisquer etapas extras necessárias. Felizmente, os clientes estão cada vez mais informados e o processo está ficando mais fácil.

O objetivo é tornar a identificação de dois fatores o mais fácil possível para os usuários finais e, ao mesmo tempo, garantir que seja difícil para os malfeitores contorná-la.

Parece formidável? Relaxar! A autenticação de dois fatores ( 2FA ) vem evoluindo para combater esses criminosos inteligentes.

Como funciona?

2FA adiciona uma camada extra aos protocolos de autenticação. Pode vir de muitas formas. Às vezes é biométrico, exigindo que uma voz, impressão digital, digitalização de retina ou algum outro item exclusivo faça parte do mix.

Eles precisam de manutenção extensa de registros e armazenamento de PII (informações de identificação pessoal), o que pode aumentar significativamente as despesas gerais, além de causar preocupações adicionais de segurança caso o armazenamento seja comprometido.

No entanto, embora essas técnicas sejam possíveis, elas não são práticas na maioria dos casos. Em vez disso, instituições como bancos emitem cartões de identidade exclusivos para (por exemplo) operar um caixa eletrônico (ATM). Esses cartões são inúteis sem o PIN (número de identificação pessoal).

Essa segurança depende de ter um item específico e combiná-lo com um determinado conhecimento. Os cartões bancários podem ser perdidos quando uma carteira é roubada ou extraviada, mas os próprios cartões são inúteis sem o PIN.

A autenticação de dois fatores aumenta o paradigma tradicional de 'nome de usuário' e 'senha'.

Benefícios da autenticação de dois fatores

Gangues organizadas, ou mesmo criminosos solitários, encontraram estratégias para induzir pessoas inteligentes a tomar algumas decisões surpreendentemente ruins, como conceder acesso seguro a estranhos ou compartilhar senhas.

A 2FA através de SMS torna o processo suficientemente difícil para criminosos que, em geral, a maioria de nós é muito desinteressante para chamar a atenção.

Eliminando um Passo

A IoT , ou Internet das Coisas, tem sido um grande benefício para a humanidade (assim como uma desgraça, em alguns casos). Isso significa que 5 bilhões de smartphones estão atualmente em uso, além de inúmeros outros dispositivos que podem receber mensagens SMS.

De acordo com as estimativas atuais, 21/2 bilhões de terráqueos carregam pelo menos um smartphone (além de todos os nossos outros dispositivos).

Está conosco quase o tempo todo, de fácil acesso, e nos tornamos bastante dependentes dele.

Os serviços 2FA não precisam emitir ferramentas de identificação discretas; nem precisam armazenar informações desnecessárias sobre indivíduos.

Ainda podemos ter nomes e senhas, mas agora, tendo-nos identificado assim, o serviço pode usar a autenticação por SMS para nos enviar uma mensagem de texto com um PIN temporário que expira em apenas um ou dois minutos.

Agora você sabe alguma coisa (nome e senha) e tem alguma coisa (seu telefone), para poder prosseguir. O que poderia ser mais fácil?

Os medos desaparecem, os clientes vão usá-lo

Algumas empresas acham que os clientes vão se rebelar e levar seus negócios para outro lugar. Como prova, eles geralmente apontam para o fato de que apenas 10% dos usuários do Gmail ativam o 2FA – ou, mais especificamente, 90% não .

Embora o uso de 2FA seja, sem dúvida, uma boa ideia, você precisa estar ciente do paradigma que está funcionando aqui. As pessoas costumam usar uma empresa de segurança ou serviço de e-mail ISP privado para seus e-mails 'importantes' e o Gmail para absorver SPAM e fornecer comunicação com sites não confiáveis.

Aqueles que o usam para 'tudo' tendem a tomar mais cuidado; para o restante, não vale a pena o esforço extra.

Os clientes estão exigindo 2FA para transações financeiras

Por outro lado, quando se trata de movimentar dinheiro , os clientes tendem a ser muito mais específicos e a aproveitar as medidas de segurança adicionais.

Se você não oferecer serviços de autenticação por SMS, eles serão movidos para outro provedor. Sites populares como Amazon, LinkedIn, PayPal e DropBox exigem 2FA para transações financeiras de dispositivos desconhecidos ou para troca de PII.

Por conveniência, você encontrará frequentemente pequenas caixas de seleção que dizem "Confiar neste dispositivo", o que significa que as transações futuras por meio desse dispositivo são automaticamente confiáveis.

Se você emprestar o tablet de um amigo para fazer login em sua conta bancária, será necessário obter um código de autenticação único e por tempo limitado, mas em seu dispositivo registrado, será apenas uma questão de usar sua senha e nome usuais.

Alguns sites exigem que você certifique um dispositivo apenas uma vez; outros mensalmente ou anualmente. Sites de alta segurança exigem 2FA em cada login.

Desafios da autenticação de dois fatores

O 2FA não é uma panacéia porque hackers experientes podem interceptar SMS e encaminhar chamadas instantâneas – tudo isso para enviar o código resultante para outro lugar.

No entanto, 'Não entre em pânico!', como Douglas Noel Adams nos aconselhou uma vez. É preciso muito trabalho, e geralmente é restrito a funcionários desonestos dentro de um provedor de serviços GSM, para criar essas oportunidades de exploração.

Quando há um ganho significativo a ser obtido, os bandidos estão dispostos a gastar mais esforço.

Aqueles que transferem dezenas de milhares ou milhões (ou no caso de celebridades, todas as suas fotos nuas) precisam tomar precauções adicionais, mas isso não diz respeito à maioria da população.

Alguns sistemas são intrinsecamente fracos ou protegidos por representantes de atendimento ao cliente que estão muito ansiosos para redefinir senhas. É provavelmente melhor ficar com empresas respeitáveis ​​usando um serviço de marca.

Obviamente, o 2FA pode ser problemático para pessoas que se sentem obrigadas a obter um novo smartphone todos os anos. Eles devem atualizar todas as suas contas, identificando o novo dispositivo (adicionando novas e excluindo permissões antigas), antes que possam acessá-las sem problemas. Esse é o custo de ter sempre a tecnologia mais recente…

Mais ferramentas para 2FA

Você pode pensar que existem ferramentas melhores. Existem ferramentas de aplicativos, como o Google Authenticator (veja um exemplo de teste funcional aqui), que são à prova de 'interceptação de SMS' ou, se você é fã da Apple, notificações PUSH que também não usam o sistema SMS.

Você pode usar algo assim se isso lhe agrada. Em ambientes de alta segurança, existem ferramentas ainda mais fortes, e são frequentemente utilizadas quando necessário.

Você já deve ter ouvido falar de um dispositivo de chaveiro tipo USB que gera uma senha aleatória mediante solicitação, por exemplo. Isso é útil para uma organização, mas consideravelmente menos para lidar com milhares de membros do público em geral.

O take-away

Todos esses são ótimos sistemas e superam quaisquer fraquezas percebidas do 2FA acionado por SMS. A verdade, porém, é que tais fraquezas são menores e não necessariamente intrínsecas. A culpa quase sempre recai sobre a implementação dos protocolos por empresas de comunicações individuais.

Essas falhas se tornarão acadêmicas com o tempo, à medida que avançamos para a eliminação de vulnerabilidades em protocolos explorados como o SS7 (usado para habilitar o roaming em diferentes redes telefônicas).

O SMS é uma excelente opção porque as pessoas já o entendem muito bem, é onipresente e complica a vida dos hackers.

Proteja você e seus clientes, como fizemos para o Cloud Data Service, uma agência de desenvolvimento de software e web que conta com a segurança SMS 2FA para garantir que as informações de seus clientes permaneçam privadas.

Se você deseja um canal de comunicação confiável e seguro para seus clientes, conecte-se com um de nossos especialistas em TextMagic por meio de nosso Formulário de Contato Online ou registre-se para uma avaliação gratuita, para que você possa ver como funciona!