2016/11/19

O perigo de usar o telefone como factor de identificação


Actualmente é praticamente indispensável utilizar métodos de autenticação múltiplos para evitar que o acesso aos nossos serviços mais importantes fique dependente de uma única password, mas a dependência no número de telefone como factor de segurança poderá ser também um risco.

Quem alerta para este perigo é o Kraken, um bitcoin exchange, que tem assistido a um aumento no número de roubos de contas conseguidas precisamente à conta do roubo do número de telefone. Aparentemente, diversos operadores de telecomunicações facilitam imensamente o acesso a um número de telefone a "hackers sociais", bastando inventar uma qualquer situação desesperada em que se ficou sem documentos e que se precisa urgentemente de recuperar o acesso ao número de telefone.

Obtido o número de telefone da vítima, a suposta segurança dada pelo sistema "2-factor" acaba por se tornar uma fraqueza, utilizando-se o número de telefone como meio de recuperar o acesso a contas dos mais diversos serviços (incluindo da Google, entre muitos outros.) O Kraken recomenda por isso que não se utilize o telefone como sistema de identificação, devido a esta vulnerabilidade por parte dos operadores - o que não quer dizer que não se usem outros métodos, mais seguros, para a tal autenticação 2-factor; como o Google Authenticatos, chaves YubiKey, etc. etc.

Um ponto a ter em conta, para quem por norma considera que o seu número de telefone é um método de identificação "inviolável" - e que assim fica demonstrado não ser bem assim.

2 comentários:

  1. Daí a recomendar não usar ainda vai um "passo grande"...!

    Ou seja primeiro se alguém por "portas travessas" consegue segunda via do meu cartão sim, eu irei automaticamente ficar sem acesso à minha rede logo o "alarme toca"...

    Para além de que à partida é exigido documento de identificação do titular do serviço contratado (pelos menos para quem possuir contrato como eu) podendo ocorrer o contrário é necessário uma série de informações sobre a pessoa visada.

    É sempre interessante ficarmos informados sobre determinados assuntos e concerteza pontualmente entre conhecidos, pessoas com determinadas informações privilegiadas é uma situação que apesar de pouco provável poderá ocorrer, ou seja a acontecer será na maioria dos casos entre pessoas próximas, etc já que se requer informação pertinente para levar a bom porto o que esta "notícia" sugere, para além das fronteiras geográficas que se impõem no acesso a uma operadora. (daí afirmar sem qualquer pudor que acontecer será entre pessoas dentro do círculo social da vítima, mais próximo ou menos próximo)

    Agora quando se fala do "anónimo" da intraweb que com o recurso às diversas "armadilhas" informáticas já não será bem assim, ou seja em 99% dos casos é sempre mais seguro o segundo passo activo do que o contrário, com esta informação acaba-se por criar um alarmismo social "absurdo" no caso dos menos informados e incautos...!



    ResponderEliminar
  2. Nas nossas estimadas operadoras, bastam dois elementos identificativos (como por exemplo NIF e morada, ou nome completo do titular e número de cliente), para se poder pedir uma segunda via de um cartão.

    É óbvio que alguém com uma carteira com bitcoins será um alvo mais apetecível que um gajo com um MBNet associado ao PayPal mas, ainda assim...

    ResponderEliminar

[pub]