Autenticação adicional é sempre útil. Embora nada ofereça a segurança perfeita que todos nós queremos, o uso de autenticação de dois fatores coloca mais obstáculos para os invasores que querem suas coisas.
Sua companhia telefônica é um elo fraco
Os sistemas de autenticação de duas etapas em muitos sites funcionam enviando uma mensagem para seu telefone via SMS quando alguém tenta fazer o login. Mesmo que você use um aplicativo dedicado no telefone para gerar códigos, há uma boa chance de que seu serviço de escolha ofereça permita que as pessoas façam login enviando um código SMS para o seu telefone. Ou, o serviço pode permitir que você remova a proteção de autenticação de dois fatores da sua conta depois de confirmar que você tem acesso a um número de telefone que você configurou como um número de telefone de recuperação.
Tudo isso soa bem. Você tem seu celular e tem um número de telefone. Ele tem um cartão SIM físico dentro dele que o vincula a esse número de telefone com o seu provedor de celular. Tudo parece muito físico. Mas, infelizmente, o seu número de telefone não é tão seguro quanto você pensa.
Se você já precisou mover um número de telefone existente para um novo cartão SIM depois de perder seu smartphone ou apenas comprar um novo, saberá o que geralmente é feito por telefone ou talvez até on-line. Tudo o que um invasor precisa fazer é ligar para o departamento de atendimento ao cliente da sua empresa de telefonia celular e fingir que é você. Eles precisam saber qual é o seu número de telefone e saber alguns detalhes pessoais sobre você. Esses são os tipos de detalhes - por exemplo, número do cartão de crédito, últimos quatro dígitos de um SSN e outros - que vazam regularmente em grandes bancos de dados e são usados para roubo de identidade. O invasor pode tentar transferir seu número de telefone para o telefone dele.
Existem maneiras ainda mais fáceis. Ou, por exemplo, eles podem receber o encaminhamento de chamadas no final da companhia telefônica para que as chamadas de voz recebidas sejam encaminhadas para o telefone e não cheguem ao seu.
Heck, um invasor pode não precisar de acesso ao seu número de telefone completo. Eles podem obter acesso ao seu correio de voz, tentar acessar os sites às 3 da manhã e, em seguida, pegar os códigos de verificação do seu correio de voz. Quão seguro é o sistema de correio de voz da sua empresa de telefonia, exatamente? Quão seguro é o seu PIN de correio de voz - você já definiu um? Nem todo mundo tem! E, em caso afirmativo, quanto esforço seria necessário para um invasor redefinir o PIN do correio de voz ligando para a companhia telefônica?
Com o seu número de telefone, está tudo acabado
Seu número de telefone torna-se o link fraco, permitindo que o invasor remova a verificação em duas etapas da sua conta, ou receba códigos de verificação em duas etapas, por meio de SMS ou chamadas de voz. No momento em que você percebe que algo está errado, eles podem ter acesso a essas contas.
Este é um problema para praticamente todos os serviços. Os serviços on-line não querem que as pessoas percam o acesso às suas contas, por isso geralmente permitem que você ignore e remova a autenticação de dois fatores com seu número de telefone. Isso ajuda se você precisou redefinir seu smartphone ou comprar um novo e perdeu seus códigos de autenticação de dois fatores, mas ainda tem seu número de telefone.
Teoricamente, deve haver muita proteção aqui. Na realidade, você está lidando com as pessoas de atendimento ao cliente em provedores de serviços de celular. Esses sistemas costumam ser configurados para a eficiência, e um funcionário de atendimento ao cliente pode ignorar algumas das salvaguardas enfrentadas por um cliente que parece irritado, impaciente e tem o que parece ser informação suficiente. Sua empresa de telefonia e seu departamento de atendimento ao cliente são um elo fraco em sua segurança.
Proteger seu número de telefone é difícil. Realisticamente, as empresas de telefonia celular devem oferecer mais garantias para tornar isso menos arriscado. Na realidade, você provavelmente quer fazer algo por conta própria, em vez de esperar que as grandes corporações corrijam seus procedimentos de atendimento ao cliente. Alguns serviços podem permitir que você desative a recuperação ou redefina os números de telefone e avise-os amplamente - mas, se for um sistema de missão crítica, talvez seja melhor escolher procedimentos de redefinição mais seguros, como códigos de redefinição que você pode bloquear em um cofre de banco você sempre precisa deles.
Outros procedimentos de reinicialização
Não é apenas sobre o seu número de telefone. Muitos serviços permitem que você remova essa autenticação de dois fatores de outras maneiras, caso afirme que perdeu o código e precisa fazer login. Contanto que você saiba detalhes pessoais suficientes sobre a conta, talvez consiga entrar.
Tente você mesmo - vá para o serviço que você protegeu com autenticação de dois fatores e finja que perdeu o código. Veja o que é preciso para entrar. Você pode ter que fornecer detalhes pessoais ou responder a “perguntas de segurança” inseguras no pior dos casos. Depende de como o serviço está configurado. Você pode redefini-la enviando um link por e-mail para outra conta de e-mail e, nesse caso, essa conta de e-mail pode se tornar um link fraco. Em uma situação ideal, você pode precisar apenas de acesso a um número de telefone ou códigos de recuperação e, como vimos, a parte do número de telefone é um link fraco.
Veja algo mais assustador: não se trata apenas de ignorar a verificação em duas etapas.Um invasor pode tentar truques semelhantes para ignorar completamente sua senha. Isso pode funcionar porque os serviços on-line querem garantir que as pessoas possam recuperar o acesso às suas contas, mesmo se perderem suas senhas.
Por exemplo, dê uma olhada no sistema de recuperação de conta do Google. Essa é a última opção para recuperar sua conta. Se você alegar não conhecer senhas, você será solicitado a receber informações sobre sua conta, como quando a criou e com quem você envia e-mails com frequência. Um invasor que sabe o suficiente sobre você poderia, teoricamente, usar procedimentos de redefinição de senha como esses para obter acesso às suas contas.
Nunca ouvimos falar de abuso do processo de recuperação de conta do Google, mas o Google não é a única empresa com ferramentas como essa. Eles não podem ser totalmente infalíveis, especialmente se um invasor souber o suficiente sobre você.
Quaisquer que sejam os problemas, uma conta com a configuração da verificação em duas etapas sempre será mais segura do que a mesma conta sem a verificação em duas etapas. Mas a autenticação de dois fatores não é um problema, como vimos nos ataques que abusam do maior elo fraco: sua empresa de telefonia.
