Uma das maneiras mais convenientes para os usuários móveis fazerem login em aplicativos – e o método que muitas empresas utilizam para conceder acesso – é uma senha de uso único, ou OTP, que geralmente é compartilhada por mensagem de texto. Mas há um consenso crescente entre os especialistas em segurança cibernética de que as senhas de uso único, assim como as senhas tradicionais, deveriam ser eliminadas, embora os especialistas digam que é duvidoso que isso aconteça tão cedo.
Os consumidores são incentivados a prestar atenção aos diferentes tipos de senhas de uso único e aos riscos relativos à segurança em comparação com os benefícios que cada uma oferece. A experiência mostra que sempre existem algumas maneiras de contornar a autenticação, mas alguns métodos são mais fortes que outros, de acordo com Ant Allan, analista vice-presidente da Gartner Research. “Não existem métodos de autenticação infalíveis”, disse Alan.
Aqui está o que os consumidores precisam saber sobre senhas de uso único (OTP) e segurança online:
Os cartões OTP são vulneráveis a fraudes online
Senhas de uso único (OTP) enviadas via texto ou SMS são mais vulneráveis a ataques de fraudadores por diversos meios, como ataques de phishing, spoofing e segurança fraudulenta na Javelin Strategy & Research, disse Tracy C. Kitten, diretora de fraude e segurança no cartão SIM da Javelin Strategy & Research e interceptar mensagens, mesmo se você tiver seu telefone em sua posse.
O problema é agravado pelo fato de que, quando uma conta de celular ou site é sequestrado, você pode não perceber imediatamente. “Você pode pedir a um banco, por exemplo, para enviar uma mensagem de texto e depois devolvê-la, sem perceber que outra pessoa a recebeu”, diz Keaten. “Pode levar 45 minutos até você perceber que algo está errado, e ainda por cima. ponto, é tarde demais.
Use o aplicativo autenticador do Google e da Microsoft
A melhor opção, embora não seja uma solução mágica, é baixar um aplicativo de autenticação, como o Google Authenticator ou o Microsoft Authenticator, em um dispositivo móvel, dizem especialistas em segurança. Os aplicativos de autenticação ainda são vulneráveis a alguns tipos de ataques de “inimigo intermediário”, mas ainda são mais seguros que o SMS, disse Allan.
Com um aplicativo autenticador, os usuários recebem um código exclusivo sempre que fazem login, e o código expira, normalmente após 30 a 60 segundos. Nada é enviado para o número de telefone. O aplicativo de autenticação está no seu dispositivo móvel, portanto, se o telefone estiver protegido por senha e você ativar o reconhecimento facial, isso reduzirá bastante o risco de alguém conseguir acessar esses códigos, disse Kitten.
Ainda existem vulnerabilidades potenciais que dependem da necessidade de inserir código, afirma Cédric Thevenet, vice-presidente e chefe de vendas e soluções cibernéticas da Capgemini Americas. Por exemplo, digamos que alguém receba um e-mail que parece ser de uma empresa ou provedor com o qual lida rotineiramente, mas na verdade é uma tentativa de phishing bem disfarçada. Graças à inteligência artificial, esses tipos de e-mails de phishing tornaram-se mais difíceis de detectar, disse Thevenet.
Se um usuário desatento clicar no link, ele poderá levá-lo a um site que parece legítimo, mas não é. A pessoa insere seu nome de usuário e senha no site do hacker, pensando que é o site do provedor de serviços, e quando solicitado o código de autenticação, digita-o também. Agora, conforme explicou Thevenet, o hacker tem acesso à conta da pessoa.
Considere pagar aplicativos móveis para melhor proteção
Existe uma opção de autenticação mais segura que funciona em conjunto com aplicativos móveis no telefone do usuário. Quando os usuários fazem login no site do seu banco ou outro tipo de prestador de serviços, eles recebem uma notificação no aplicativo correspondente em seu telefone solicitando que verifiquem sua identidade com esta notificação.
Este método de verificação é independente do dispositivo a partir do qual você está fazendo login e é melhor do que SMS ou senhas de uso único para autenticação, mas existem ataques que também podem funcionar contra esse método, disse Alan. Um hacker pode tentar repetidamente fazer login na conta de alguém usando uma senha roubada e o usuário receberá várias mensagens em seu telefone para verificação. Caso a pessoa não esteja prestando muita atenção, ou apenas queira parar de incomodar, ela pode clicar para verificar e assim dar acesso à conta ao hacker.
Escolha uma chave de segurança de hardware quando possível
A melhor opção é usar uma chave de segurança física como a Yubico. Uma chave pode ser usada com vários aplicativos e serviços. Do ponto de vista da segurança, é melhor que SMS ou um aplicativo autenticador, disse Alan. Mas há um investimento. Uma chave pode custar de US$ 20 a US$ 60 ou mais, e as pessoas precisam ter cuidado para não perdê-la.
Isto também não é prático em todas as situações. O varejista on-line não fornecerá a chave a cada um de seus clientes por razões de custo e praticidade, disse Thevenet.
Remova as senhas da equação com chaves de acesso para vários dispositivos
Embora o uso de chaves de acesso para vários dispositivos, que substituem a necessidade de senhas, não seja necessariamente um substituto para uma senha de uso único, isso torna mais difícil para um invasor invadir suas contas. As chaves de acesso consistem em uma “chave privada” armazenada no computador ou telefone do usuário e criptografia de chave pública, de acordo com a FIDO Alliance, um consórcio aberto focado em reduzir a dependência mundial de senhas.
Além de eliminar alguns dos inconvenientes das senhas, as chaves de acesso protegem os usuários contra ataques de phishing porque só funcionam em sites e aplicativos nos quais estão registrados. Existem algumas preocupações de segurança, mas, pelo menos, “remove as senhas da equação, tornando mais difícil para um invasor começar”, disse Allan.
Do ponto de vista regulatório, as chaves de acesso podem não ser qualificadas como autenticação multifatorial, mas podem ser mais seguras do que usar senha e SMS, disse Allan.
Espere que as senhas de uso único (OTP) SMS continuem em uso e há um risco
Há uma ampla gama de opções disponíveis aos usuários para gerenciar logins online com maior foco na segurança, incluindo gerenciadores de senhas, mas todas envolvem riscos e, em certa medida, os consumidores estão limitados aos métodos de autenticação oferecidos por diferentes provedores.
O diretor administrativo da Protiviti, Dusty Anderson, que lidera a prática de identidade digital da empresa, diz que um de seus clientes gasta dezenas de milhares de dólares por mês enviando senhas de uso único via SMS. Apesar das preocupações de segurança, o cliente mantém sua posição porque tem medo de causar problemas, principalmente com clientes que não estão familiarizados com a tecnologia e podem relutar em usar outro tipo de ferramenta de autenticação.
Por outras razões, Thevenet disse que as senhas temporárias provavelmente permanecerão disponíveis de alguma forma no futuro próximo. Thevenet acrescentou que as opções mais populares são de baixo custo e fáceis de usar e, apesar de alguns riscos, esses métodos ainda são melhores do que apenas uma senha. “Enviar uma senha temporária via SMS é a melhor solução de todos os tempos. É melhor do que apenas uma senha? Sim.”