NIST suaviza orientação sobre autenticação de SMS
Que diferença faz um ano. Conforme relatado na recente newsletter da AppDev Magazine, apenas um ano após o NIST, o Instituto Nacional de Padrões e Tecnologia emitiu orientações que consideravam o SMS inseguro e não mais adequado como um forte mecanismo de autenticação; recuou para reduzir suas declarações anteriormente fortes e, em vez disso, oferece uma recomendação nova e mais suave.
A NIST propôs “descontinuar” a 2FA por SMS ano passado por causa das vulnerabilidades como fator fora da faixa nos ambientes de autenticação multifator. “O termo ‘descontinuar’ confundiu as pessoas”, disse Paul Grassi, conselheiro sênior de normas e tecnologia na NIST, “pois não ficou muito claro se a 2FA por SMS foi proibida ou se seguia permitida.” Seguindo uma proposta informada com orientação dos setores de telecomunicações, finanças e segurança sobre como usar o SMS com sucesso, a NIST aplicou essas mudanças e, ainda que no seu primeiro esboço, o SMS estivesse como ‘descontinuado’, no fim o termo virou ‘restringido’ — que as organizações ou usuários estariam correndo um risco ao usar a 2FA por SMS.
Embora o público-alvo da NIST seja as agências federais governamentais, muitas entidades comerciais seguiram a orientação da NIST. Além disso, mesmo que a entrega por SMS de senhas de uso único seja “restringida” pela NIST, isso não significa que as organizações devam evitar a 2FA. De fato, outras abordagens, por exemplo, a OTP baseada em push (enviando um código para um dispositivo móvel via aplicativo, como o Google Authenticator), que é assinado criptograficamente e não é entregue pelo canal de SMS, evita essas vulnerabilidades.
Esse novo processo de pensamento, não significa, no entanto, que o SMS tenha ficado mais resiliente. As mensagens por SMS (ainda) não são protegidas de olhos à espreita. Não há (ainda) a certeza de que elas vão de fato para o receptor pretendido. E, em grande parte, elas (ainda) são percebidas como inseguras.
Os ataques em SMS e o que é comumente conhecido como "Troca de SIM" já existem a quase dez anos. Hoje, os ataques são lugar-comum e realizados em todas as operadoras nos EUA, incluindo Verizon, AT&T, T-Mobile, Sprint e outras.
Exploits de SMS passam a ser comuns
A consciência sobre as ineficiências das mensagens por SMS não está limitada apenas às informações sobre tecnologia ou a profissionais da segurança. Cada vez mais, os exploits de SMS passam a ser comuns.
Um caso de exemplo: um artigo recente do New York Times, descrevendo como os ladrões de identidade estão roubando contas de telefone celular para caçar moedas virtuais. Ele descreve como uma carteira de moedas virtuais (e o investidor ao qual ela pertencia) estava sendo roubada em cerca de US$ 150.000 em questão de minutos após os hackers terem conseguido controlar o telefone do investidor.
Conforme descrevem no artigo do Times outras vítimas de perdas de criptomoedas, o SMS — exigido pela maioria das empresas financeiras para associar contas online de clientes com números de telefone para confirmar suas identidades — seguia sendo o problema a discutir. O sistema permitirá que alguém com o número de telefone certo redefina as senhas para as contas, mesmo sem saber as senhas originais. Um hacker só precisa clicar em "Esqueci minha senha" e instantaneamente um novo código é enviado para o telefone (e número de telefone) que ele sequestrou.
Dependendo da empresa de telecomunicação, o hacker pode fazer isso pessoalmente, por telefone ou, até mesmo, por chat online. Assim que o hacker consegue o novo SIM, é fácil fazer com quer o SMS seja enviado para o novo telefone e comprometer as contas. Além, disso, quando a pessoa controla o número de telefone, ela também pode redefinir as senhas associadas com qualquer outra conta que usa aquele número de telefone como backup de segurança.
RELATÓRIO BRANCO
Autenticação adaptativa: experiência de usuário superior e crescimento por meio da segurança inteligente
Baixe este documento e alcance o objetivo duplo de reduzir a fraude e agradar ao cliente.
Baixar AgoraUm nível maior de autenticação
Hoje, a maioria dos usuários depende da autenticação por SMS como o método de autenticação de backup para permitir transações seguras, como mudanças de senha. Ela é, inclusive uma forma interessante de autenticação de dois fatores quando usada para transações de baixo valor. Ainda assim, se você a estiver usando (ou dependendo dela exclusivamente) para transações de alto risco, como cobranças em cartão de crédito, compensação automática ou transferências bancárias, considere implementar uma forma mais forte de autenticação. Neste caso, se o usuário estiver tentando realizar algo considerado mais arriscado (como, por exemplo, uma transação), ele será obrigado a satisfazer um nível de autenticação maior para completar a tarefa de maior risco.
No entanto, mesmo os mecanismos de autenticação por SMS “progressivos” são problemáticos. Tipicamente, eles são gerados aleatoriamente, armazenados no back-end e enviados para o serviço da Web registrado. Não ocorre a validação do número de telefone, nem outra validação de quem está com o telefone em mãos. Não há sequer uma confirmação de que um aplicativo naquele telefone específico tenha gerado a solicitação que está sendo processada.
Colocando o SMS em perspectiva
Embora a NIST tenha recuado em sua declaração forte contra o uso de SMS como uma solução verdadeira de dois fatores, todas as equipes de segurança devem avaliar seu uso e dependência pela organização e estabelecer os controles adequados para garantir que o SMS não se torne uma brecha em sua estrutura de segurança.
Como ilustra o artigo do Times e de acordo com o que a experiência mostra, o SMS está evoluindo rapidamente como ponto de exploit comum, que se estende para além dos hackers de carteirinha. Mesmo os criminosos com pouca (ou nenhuma) experiência técnica podem, com um sorriso e um aperto de mão virtual, explorar o SMS e, frequentemente, obter um ganho monetário significativo.
Como comunidade, precisamos avaliar como o SMS é usado e que tipos de comunicação devem ser usados com esse protocolo. Saiba mais sobre como a autenticação biométrica, (por exemplo, comportamental, facial ou por impressão digital), a validação de transação fora de banda, a notificação push e a análise de risco lidam com a fraca segurança do SMS e a vencem.
