Autenticação por SMS perde espaço para a autenticação multifatorial fora de canal

Segundo a Easy Solutions, essa mudança será mais lenta em regiões com baixa penetração de smartphones, onde o envio de códigos por mensagens de texto ainda é útil 

Foto/Divulgação

São Paulo, 13 de fevereiro de 2017 - De acordo com a Easy Solutions, empresa especializada em segurança, a estratégia de reforçar senhas e nomes de usuário por meio do envio de SMS com código de verificação das transações realizadas tornou-se insegura. A empresa acredita que a autenticação multifatorial fora de canal e voltada para dispositivos móveis oferece um nível de segurança superior, como segundo fator de autenticação, em comparação com o envio de códigos OTP por SMS, além de ser mais conveniente, proporcionando uma experiência de usuário quase sem dificuldades.

Ricardo Villadiego, fundador e CEO da Easy Solutions, explica que os códigos enviados em mensagens de texto nem sempre são criptografados e podem ser interceptados. “O código adicional deve ser digitado na mesma página transacional em que o usuário digitou senha e nome de usuário, mas, se o dispositivo ou a própria página estiverem infectados ou comprometidos por malware, os fraudadores podem capturar o OTP e os dados de acesso digitados, deixando a conta do usuário à mercê dos cibercriminosos”, explica o executivo.

Além disso, os fatores de autenticação avançaram muito desde o auge do envio de senhas geradas aleatoriamente via SMS. Celulares e tablets agora têm muito mais tecnologia incorporada que laptops ou desktops, e esses dispositivos têm sido usados em opções mais seguras de verificação de transações. Essas opções incluem notificações push, reconhecimento biométrico de rosto, impressão digital ou reconhecimento de voz e aplicações de segurança que podem ser integradas ao aplicativo do banco:

Autenticação Push: Permite um envio rápido, seguro e em tempo real de mensagens que podem ser respondidas para autenticar ou cancelar uma transação instantaneamente. A mensagem é enviada fora de canal e é criptografada. Não é preciso digitar códigos ou senhas em um website, mantendo esses dados de acesso fora do alcance de cibercriminosos. Sua segurança forte também é altamente conveniente, contribuindo para uma experiência de usuário sem dificuldades.

Reconhecimento biométrico: As tecnologias biométricas têm fama de serem altamente seguras, o que é importante, uma vez que tecnologias que não são percebidas como seguras pelos clientes não serão utilizadas por eles. Os leitores de impressão digital, rosto e voz têm melhorado, acompanhando o desenvolvimento da tecnologia dos smartphones, e muitos já vêm com leitores de impressões digitais. Assim como a autenticação via push, a autenticação biométrica é feita em segundos e é mais conveniente para o usuário final do que exigir que ele digite uma senha de uso único.

Código OTP por mensagem de voz - VoiceOTP: Os VoiceOTPs enviam para os usuários finais uma senha por telefone. Quando o usuário atende a chamada, uma mensagem de áudio é reproduzida, com uma breve introdução e uma senha gerada aleatoriamente, impossibilitando a interceptação do código OTP.

Tokens para celular: Ao contrário dos códigos OTPs enviados por SMS, as senhas de uso único baseadas em software para verificação de login e transações são protegidas por criptografia e outros métodos, sendo inúteis para os cibercriminosos se acabarem sendo interceptadas. O código OTP é enviado para o celular ou tablet do usuário e aparece diretamente na tela, o que significa que o usuário não tem que alternar entre diferentes aplicações para digitar o código de acesso.

“A recomendação de substituir a autenticação via SMS faz mais sentido para mercados digitais completamente desenvolvidos, como a América do Norte e Europa, onde smartphones e tablets são onipresentes”, explica Villadiego. Segundo o executivo, em regiões onde os smartphones têm pouca penetração e os telefones antigos ainda são maioria, o envio de códigos por mensagens de texto ainda é bastante útil, uma vez que não existem muitas alternativas de autenticação à disposição dos usuários.