PSD2: este é o fim da autenticação baseada em SMS?
Bancos e prestadores de serviços de pagamento às vezes, confie no SMS para verificar a identidade de uma pessoa que deseja fazer uma transferência eletrônica ou confirmar um pagamento. Eles enviam uma mensagem SMS com um senha descartável (OTP) para o celular da pessoa e o usuário deve inserir esse OTP no aplicativo do banco ou do provedor de serviços de pagamento.
Nesta postagem do blog, discuto se Autenticação baseada em SMS ainda será aceitável quando os requisitos de autenticação forte do cliente (SCA) no PSD2 entrarem em vigor. Em agosto de 2016, a Autoridade Bancária Europeia (EBA) publicou seu projeto de proposta para a Norma Técnica Regulatória (RTS) sobre autenticação forte de clientes (SCA). Minha análise é baseada neste adendo ao PSD2. Esperamos que o RTS seja finalizado pela EBA nas próximas semanas.
Para responder à pergunta se a autenticação baseada em SMS será aceitável, consideramos três cenários para o uso do SMS. Em seguida, discutimos quais dos três cenários atendem aos requisitos do RTS.
Cenário 1: autenticação de dois dispositivos (2da)
Nesse caso, o usuário possui dois dispositivos independentes: um dispositivo para acessar um site ou aplicativo bancário e outro dispositivo para se autenticar ou um pagamento. O primeiro dispositivo, ao qual nos referimos como o dispositivo bancário , normalmente é um PC de mesa, laptop ou dispositivo móvel (por exemplo, telefone, tablet) que executa um aplicativo bancário móvel. O segundo dispositivo, que chamamos de dispositivo de autenticação , é um dispositivo móvel que recebe o SMS. Supomos que o usuário se autentique no site ou aplicativo bancário usando o OTP do SMS e uma senha ou PIN.
Esta solução é compatível com o RTS quando é usada para entrar para o site ou aplicativo bancário. A solução pode ser compatível com assinatura uma transação, mas somente se duas condições forem atendidas. Primeiro, a mensagem SMS deve conter os detalhes da transação (por exemplo, valor, beneficiário). Segundo, o conteúdo da mensagem SMS deve ser protegido contra alterações durante o transporte e o recebimento pelo dispositivo móvel. Este último requisito não é facilmente atendido pelas mensagens SMS, pois geralmente não são protegidas.
Portanto, em geral, a autenticação baseada em SMS pode ser usada para logon, mas não para assinatura.
Cenário 2: autenticação de dois aplicativos (2aa)
Ao contrário do 2da, essa abordagem não depende de dois dispositivos diferentes, mas de dois aplicativos diferentes executados no mesmo dispositivo móvel. Os aplicativos interagem por meio da chamada comunicação aplicativo a aplicativo. Nós nos referimos a esses aplicativos como aplicativo bancário e aplicativo de autenticação respectivamente. O aplicativo de autenticação solicita e recebe as mensagens SMS.
A autenticação padrão baseada em SMS não é compatível por dois motivos. Primeiro, o SMS pode ser interceptado e alterado em trânsito. Segundo, o SMS pode ser interceptado por malware no dispositivo móvel, o que significa que o requisito de segregação de canal do RTS não é atendido.
A solução pode ser compatível se o conteúdo da mensagem SMS estiver protegido usando um canal seguro de ponta a ponta que termina no aplicativo de autenticação, para que somente o aplicativo possa descriptografar o SMS. No entanto, essa não é a abordagem padrão.
Cenário 3: autenticação de um aplicativo (1aa)
Nesse caso, o usuário não apenas usa um único dispositivo, mas também um único aplicativo para iniciar e autenticar transações. O usuário não emprega um dispositivo ou aplicativo de autenticação separado.
Este cenário não é compatível com os requisitos do PSD2 , porque não há segregação de canais. O uso do SMS não influencia isso.
Conclusão
Ainda estamos aguardando os requisitos finais sobre autenticação forte do cliente no PSD2. No entanto, se nada mudar em relação à proposta atual, é bastante claro que Autenticação baseada em SMS terá dificuldade em atender aos requisitos, especialmente aqueles relacionados à aprovação de pagamentos.
