Veja por que a Microsoft deseja que você pare de usar SMS e autenticação baseada em voz

Em uma recente postagem no blog, Alex Weinart, diretor de Segurança de Identidade da Microsoft, expressou uma opinião que pode parecer um pouco controversa à primeira vista. Weinart argumentou que os serviços de autenticação multifator baseada em voz e SMS são a opção menos segura quando se trata de MFA.

Embora geralmente gostemos de pensar que as mensagens de texto são um método infalível e muito seguro de implementar a autenticação multifator, Weinart mencionou alguns pontos interessantes que as pessoas geralmente não consideram quando pensam sobre o problema.

Todos os pontos que Weinart apresenta em sua postagem no blog estão relacionados à natureza do SMS e da MFA baseada em voz, e isso é o envolvimento de redes telefônicas comutadas publicamente ou PSTN. De acordo com Weinart, os sistemas PSTN não são totalmente confiáveis 100% do tempo e uma mensagem pode não chegar exatamente quando necessário ou ser atrasada.

Outra coisa que ele mencionou foi que a autenticação multifator dependente de PSTN não consegue acompanhar os avanços tecnológicos e muitas vezes pode não corresponder às expectativas do usuário quanto à experiência.

Além disso, diferentes mudanças regionais ou federais nas regulamentações podem alterar a capacidade das empresas de entregar SMS e chamadas telefônicas, tornando efetivamente um método de MFA que funcionava anteriormente inoperante ou difícil de manter.

Finalmente, Weinart menciona que tanto SMS quanto chamadas telefônicas não têm inerentemente nenhum tipo de criptografia e é tecnicamente possível interceptá-los usando uma variedade de hardware e malware.

Claro, isso não significa que as pessoas devem parar de usar o MFA. Pelo contrário, Weinart destacou a importância de usar o MFA sempre que possível e os benefícios de segurança que ele traz. No entanto, seu conselho se concentrou em usar aplicativos em vez de SMS ou serviços baseados em voz.

No final do dia, o usuário regular só pode contar com as opções de MFA que um serviço oferece para ele. A decisão de usar um aplicativo ou mensagens de texto está, em última instância, nas mãos do provedor de serviços, e o cliente e o usuário final só podem aceitar o que está sendo oferecido.

November 19, 2020

Deixe uma Resposta