2020/06/21

O perigo da autenticação 2FA quando cai nas mãos erradas


Os métodos de autenticação 2-factor são indispensáveis para garantir a segurança no acesso aos serviços digitais, mas podem também tornar-se no pior inimigo dos utilizadores, caso caiam nas mãos dos próprios atacantes.

Embora a utilização dos métodos 2FA seja fortemente recomendado em todos os serviços que o suportarem, há também algumas precauções que é preciso ter. A primeira é considerar o que fazer no caso de se deixar de ter acesso ao smartphone / chave utilizado para a autenticação - algo que pode acontecer em caso de perda, avaria, ou até roubo. Se não estiver acautelado o processo de recuperação de conta (normalmente através da utilização de códigos únicos), o utilizador legítimo pode ver-se impedido de aceder às suas próprias contas, e enfrentando uma situação complicada para as recuperar (já que fica precisamente obrigado a fazer as mesmas coisas que um atacante teria que fazer para lhe tentar roubar a sua conta).

Mas ainda pior do que perder o acesso à conta por sua própria culpa, é ver um atacante apoderar-se da sua conta e activar um método 2-factor para se proteger contra o utilizador legítimo!

Se o fizer, fica-se exactamente nessa posição de pesadelo, em que a medida que visava proteger o acesso do utilizador legítimo passa a proteger o utilizador ilegítimo - e não havendo formas fáceis de lidar com estas situações. No caso referido no link em cima, sobre uma conta Xbox, nem mesmo depois dos utilizadores legítimos responderem a uma série de 20 perguntas feitas pela MS, que até incluíam coisas como perguntar o número de série da consola, conseguiram reaver a conta - com a MS a "desenrascar" a situação sugerindo que criassem uma nova conta e fazendo o favor de transferir o perfil de jogador para lá.

São situações complicadas... mas à medida que mais e mais pessoas vão adoptando métodos 2FA de autenticação, penso que começará a ser cada vez mais frequente ter utilizadores que, de uma forma ou de outra, fiquem impossibilitados de aceder às suas próprias contas, e vai ser necessário arranjar uma forma standard de lidar com esses casos.

Sem comentários:

Publicar um comentário (problemas a comentar?)

[pub]