Problema
Infelizmente, as senhas por si só não são suficientemente seguras. As palavras-passe roubadas ou quebradas dão aos atacantes acesso a informação sensível.
Solução
Além de solicitar a palavra-passe (conhecimento secreto), uma palavra-passe única, geralmente um pin, é enviada via SMS para o proprietário da conta (posse secreta).
Resultado
Mesmo que a senha tenha sido adivinhada ou roubada, um atacante não pode ter acesso à conta porque não está na posse do telefone ou do número de telefone armazenado.
2FA fácil de usar via SMS
A implementação da autenticação de dois factores é sempre uma limitação da experiência do utilizador. Esta é a principal razão pela qual deve sempre oferecer aos seus clientes um SMS ou uma chamada de voz.
O manuseamento de pins enviados via SMS é praticado por todos os grupos etários e não há necessidade de instalar uma aplicação adicional ou de passar por procedimentos de verificação complicados.
É aconselhável oferecer uma aplicação 2FA para além do SMS e uma chamada de voz. Os diferentes caminhos complementam-se mutuamente e também servem como uma boa solução de recurso. Por exemplo, uma aplicação 2FA instalada também pode ser verificada via SMS para poupar aos clientes processos de activação complicados.
O problema dos custos
Naturalmente, o SMS também tem desvantagens. Assim, os custos são incorridos para cada processo de verificação. É, portanto, comum hoje em dia, assegurar o login apenas a partir de um novo sistema ou após o termo de um determinado período de tempo via SMS. Em alguns casos, apenas processos críticos como a abertura de uma caixa de correio ou um processo de encomenda são assegurados via SMS.
Os preços dos SMS no LOX24 são significativamente melhores desde o início. Além disso, é possível poupar mais custos utilizando uma chamada de voz em vez de um SMS.
A verificação antifraude do LOX24 é também mais barata do que um SMS normal e pode assim identificar casos em que a utilização de autenticação de dois factores é particularmente recomendada. Outras operações podem ser realizadas sem o 2FA.
Segurança de SMS - SMS spoofing & co
É claro que os SMS também não oferecem protecção absoluta com autenticação de dois factores. Os mais diversos cenários de ataque são concebíveis. A maioria é muito complexa ou requer uma má conduta massiva por parte do cliente.
Contudo, ao ponderar a facilidade de utilização, o risco e a segurança, chega-se geralmente à conclusão de que o nível de segurança pode ser significativamente aumentado através de SMS sem perder o cliente com demasiada segurança ao mesmo tempo.
O 2FA baseado em SMS é uma opção popular porque é relativamente fácil de configurar e utilizar. No entanto, existem alguns potenciais problemas de usabilidade que os utilizadores devem estar cientes. Por exemplo, se um utilizador perder o seu telefone, deixará de poder entrar na sua conta, a menos que tenha criado outra forma de 2FA. Se o telefone de um utilizador for roubado, o ladrão poderá ter acesso à conta se tiver os dados de login e acesso ao telefone. Globalmente, o 2FA baseado em SMS é uma medida de segurança conveniente e eficaz.
No entanto, o nível de segurança deve ser constantemente aumentado e, em particular, devem ser feitos investimentos na educação para o phishing. Com todos os métodos de autenticação, o phishing continua a ser o maior problema.
Implementação de 2FA-SMS com LOX24
Através da interface API do LOX24, SMS e chamadas de voz podem ser enviadas directamente para os seus clientes. Só é necessária uma interface para ambos os sentidos. O nosso sistema pode distinguir automaticamente entre números móveis e números de telefone fixo, mas é claro que também pode enviar chamadas de voz para números móveis.
Só precisa de uma conta SMS e pode integrar a interface no seu sistema. Pode obter uma conta teste aqui.