Recentemente, o National Institute of Standards and Technology (NIST) publicou uma prévia de seu Guia de Autenticação Digital. Ainda em meio ao período de recepção de feedbacks públicos, a Publicação Especial 800-63B, que fala sobre Autenticação e Gestão do ciclo de vida, trouxe uma recomendação relacionada ao uso do SMS, que está começando a fazer barulho no mercado. De fato, a repercussão foi tanta que a NIST acabou dando alguns esclarecimentos algumas semanas atrás, em um post no seu blog.
Os Capitulos 5.1.3.2 falam sobre checagem Out Of Band (OOB), um termo usado hoje para designar autenticações de usuários e assinaturas para transações usando diferentes canais. Em junho de 2011, o Federal Financial Institutions Examination Council (FFIEC) lançou um suplemento para "Autenticação no ambiente de Internet Banking," no qual recomendava que bancos começassem a usar métodos de verificação out-of-band para autenticações e transações. A recomendação do FFIEC foi publicada depois que uma fraude aos bancos americanos causou danos de mais de 11 milhões de dólares em transferências para a China em um período de apenas dois meses.
Depois da recomendação de 2011, fraudadores de todo o mundo passaram a desenvolver e disseminar uma grande variedade de Trojans (cavalos de Tróia), instalados em PC e navegadores, e até com foco em ambiente mobile, como o Zeus-in-the-Mobile, SpyEye e Eurograbber. Esses trojans mobile têm funções como captura e redirecionamento de SMS, transformando as autenticações via SMS em um potencial perigo em massa, sobretudo no que diz respeito à entrega, especialmente quando em roaming.
É esse elemento SMS no processo de dupla autenticação que o NIST evidenciou nas recentes orientações para autenticação Digital. Eles não apenas recomendam evitar o uso do SMS, mas também alertam que ele deixará de ser tratado como um método de autenticação OOB, como um todo. E afirmam, "O uso do SMS como OOB deve ser evitado, e pode não ser mais permitido em lançamentos futuros, de acordo com esse guia". Como parte das orientações do NIST na postagem do blog citado, fica claro o significado de 'evitar':
Significa que 'Você pode usar esse recurso por hora, mas já pense em uma alternativa'. É uma maneira de equilibrar os aspectos práticos de implementações de hoje, com as necessidades do futuro. Se o SMS é uma opção popular e conveniente atualmente, as preocupações com segurança devem ser parte das pautas e decisões de agências e instituições. Usar o SMS como um segundo fator de autenticação hoje é menos efetivo do que outras abordagens — mas é mais efetivo do que usar apenas um fator. Este equilíbrio é difícil e inerentemente imperfeito, por isso queremos propor alterações para toda a comunidade e abrir para sugestões antes de fechar o Guia final… Propomos a descontinuidade antes da total remoção acreditando que isso irá ajudar na eficácia das agências para investir na melhoria dos sistemas já existentes e na construção de novos sistemas. "Cabe às agências tomar as decisões de acordo com a avaliação de riscos pensando no que hoje é melhor para seus membros, mas também pensando no futuro". Link para o artigo:
Com a alta disponibilidade de redes Wi-Fi gratuitas em cafés, restaurantes, aeroportos etc., outros métodos OOB usando smartphones – como autenticações via Push ou QR Code – estão se tornando mais populares, pois são capazes de criptografar dados ao longo de toda a comunicação, desde o backend até o app mobile, oferecendo uma solução mais robusta e segura de autenticação e validação de transações.
É importante estar atento ao uso desses tipos de métodos para crescer sempre oferecendo uma resposta direta às necessidades dos usuários e seguindo este aviso, com tempo hábil para se adequar a essa nova era de autenticação não focada em SMS.
Alexandre Cagnoni, CEO/CTO da Datablink.
Sempre que se discute sobre autenticação se buscá algo infalível e isso não existe. Mas podemos buscar algo que melhore a casa dia ou a cada uso que fizermos de um sistema. Mas isso passa por fazer a pessoa entender sobre a sua autenticação e assinatura digital como sua rubrica ou assinatura manuscrita.