Conforme a preocupação da internet com segurança cresce, cada vez mais sites apelam para sistemas de autenticação em duas etaps. No entanto, uma das alternativas mais usadas da atualidade — a certificação por SMS — pode estar com os dias contados graças a uma decisão do Instituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST).
Responsável por determinar medidas e regras para o setor de tecnologia, o órgão considera que o processo de autenticação baseado no SMS simplesmente não é seguro o suficiente. Embora as decisões da entidade não tenham poder de lei, a maior parte das companhias do consumidor costuma segui-las — estando entre elas gigantes como a Google.
O documento publicado pela NIST afirma somente que companhias devem assegurar que números de telefone confiáveis estejam associados com suas redes móveis, descartando números virtuais que operam via serviços de VoIP. No entanto, a organização afirma que a verificação de SMS fora de banda “está obsoleta e não vai mais ser permitida em versões futuras desse guia”.
O que torna a recomendação um tanto confusa é o uso do termo “fora de banda”, que pode ser interpretado de diferentes maneiras. Isso pode se referir tanto a serviços de VoIP quanto ao sistema em que o usuário recebe um código de verificação por telefone ao tentar acessar um serviço da web. Caso a interpretação aceita seja a segunda, isso pode condenar o futuro do SMS em sistemas de verificação em duas etapas.
Categorias
