O diretor de segurança de identidade da Microsoft, Alex Weinert, publicou no blog de identidade do Azure Active Directory um recado da empresa: chegou a hora de desligar o transporte de autenticação pela telefonia. Em outras palavras, a Microsoft está mandando que os seus usuários e clientes desistam, por exemplo, de tokens enviados por SMS ou por meio de chamadas de voz.
Alex considera que esses mecanismos são baseados em redes telefônicas comutadas publicamente (PSTN) e acredita que sejam os menos seguros do que os métodos de MFA disponíveis hoje: “Essa lacuna só aumentará à medida que a adoção de MFA aumentar o interesse dos invasores em quebrar esses métodos e os autenticadores desenvolvidos para esse fim estenderem suas vantagens de segurança e usabilidade. Planeje sua mudança para autenticação forte sem senha agora – o aplicativo autenticador oferece uma opção imediata e evolutiva”.
Veja isso
Hackers acessaram Twitter driblando até estratégia de 2FA
IBM corrige falha que permite ‘brute force’ no Verify Gateway
Quando os protocolos de SMS e voz foram desenvolvidos, pondera o diretor, eles foram projetados sem criptografia: “Do ponto de vista da usabilidade prática, não podemos sobrepor a criptografia a esses protocolos porque os usuários não conseguiriam lê-los (há outros motivos também, como o inchaço das mensagens, que os impediu de assumir o controle dos protocolos existentes). O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comutação ou dentro do alcance de rádio de um dispositivo. Um invasor pode implantar um rádio definido por software para interceptar mensagens, ou um FEMTO próximo, ou usar um serviço de interceptação SS7 para espionar o tráfego de telefone. Esta é uma vulnerabilidade substancial e única em sistemas PSTN que está disponível para determinados invasores”.
Segundo ele, “vale a pena repetir, no entanto, que o MFA é essencial – estamos discutindo qual método de MFA usar, e não se devemos usar o MFA. Autenticação multifator é o mínimo que você pode fazer se leva a sério a proteção de suas contas. O uso de qualquer coisa além da senha aumenta significativamente os custos para os invasores, razão pela qual a taxa de comprometimento de contas usando qualquer tipo de MFA é inferior a 0,1% da população em geral”.
