2FA: porque o SMS é o pior dos bons

Publicado a por David Carrero

Ativar o segundo fator por SMS é das melhores decisões que pode tomar hoje. Também é a primeira que vai ter de rever.

As duas coisas são verdade ao mesmo tempo, e é aí que mora toda a dificuldade. O debate costuma degenerar em dois lados igualmente enganados: os que tratam o SMS como segurança a sério e os que o tratam como teatro. O SMS é muitíssimo melhor do que nada e, ao mesmo tempo, o mais frágil dos segundos fatores de uso corrente. Não há contradição. Há uma escada, e o SMS é o primeiro degrau —muito acima do chão.

O que o SMS faz bem

Sem segundo fator, a sua conta depende de um segredo que pode andar há anos a circular numa fuga alheia sem que você saiba. Alguém pega nessa lista, testa-a num serviço atrás do outro e, se reutilizou a palavra-passe, entra. Não o escolheu a si: calhou-lhe a sua linha numa folha de cálculo.

O SMS quebra isso pela raiz. A partir do momento em que há um segundo fator, atacá-lo deixa de ser um trâmite automático e passa a ser um trabalho dirigido contra si. É preciso saber quem é, que número usa e quem lho fornece. A muitos não compensa: há contas mais fáceis. Por isso, se um serviço só oferece SMS, a resposta é sim, sem reservas. As reservas vêm depois.

A falha não está no seu telemóvel

Uma pessoa imagina que quebrar o SMS é intercetar ondas, clonar um chip ou infetar o telemóvel. Nada disso é preciso. O ataque que de facto leva contas à frente, e o que aparece uma e outra vez nos casos públicos, é o SIM swapping, e consiste em algo bem mais aborrecido: alguém liga para a sua operadora, diz que perdeu o cartão SIM, responde a umas quantas perguntas de verificação e pede um duplicado. A partir desse momento, os seus SMS chegam-lhe a ele.

Repare no que ali não aconteceu. Não se quebrou nenhuma cifra. Não se tocou no seu telemóvel. Você não fez nada de errado —nem deu por nada, a não ser que a sua linha fica muda de repente, e isso, se estiver a dormir, pode demorar a chamar-lhe a atenção. O SIM swapping não é um ataque técnico contra si: é engenharia social contra a sua operadora. O elo que falha é um funcionário do apoio ao cliente a quem pagam para resolver ocorrências depressa e a quem acabaram de contar uma história perfeitamente credível, porque perder o SIM é coisa que acontece às pessoas todos os dias. Os casos estão amplamente documentados e o padrão repete-se com uma monotonia que já não surpreende.

O incómodo é que aí você não tem voto na matéria: a sua segurança depende do processo de verificação de uma empresa que não escolheu por isso. E há um segundo defeito, mais silencioso: o seu número de telefone não é um segredo. Deu-o ao dentista, à companhia da luz e a meia lista telefónica do país. Um identificador que distribui à vontade está aqui a fazer de credencial.

O segundo degrau: uma aplicação

O degrau seguinte é o TOTP —os códigos de seis dígitos que rodam a cada trinta segundos numa aplicação como as da Google, a Aegis, o 1Password ou o Bitwarden.

O mecanismo é elegante: o serviço e a sua aplicação partilham um segredo uma única vez, na configuração, e a partir daí ambos calculam o mesmo código com esse segredo e a hora. Não se envia nada. E é aí que está toda a diferença: se nada viaja, não há nada para desviar. Não há operadora, não há número, não há a quem ligar a pedir um duplicado. O SIM swapping não tem por onde entrar.

É um salto grande e custa cinco minutos. Mas também não é o fim, porque o TOTP conserva um ponto cego muito humano: o código é você que o escreve a quem o pedir. Se estiver a escrevê-lo numa página que se parece com o seu banco mas não é, o atacante recolhe-o e reencaminha-o para o sítio verdadeiro nos segundos de vida que lhe restam. A sua aplicação gera um número; não sabe onde o cola.

O degrau que não se deixa enganar

A chave física —a norma FIDO/U2F, uma chave USB ou NFC, ou o próprio telemóvel a fazer de autenticador— resolve exatamente isso. Ao registar-se, cria um par de chaves preso à origem: ao domínio concreto desse serviço. Ao entrar, o navegador diz-lhe para que domínio se pede a assinatura, e a chave assina um desafio que leva esse domínio lá dentro. Se a página é uma cópia alojada noutro sítio, o domínio não coincide e não sai uma assinatura que o serviço verdadeiro aceite.

Dito de outra forma: a chave não é mais esperta do que você; é que não confia no seu critério. Não olha para o cadeado, não lê o URL, não avalia se o email parecia legítimo. Compara uma cadeia de texto com outra. É o único elo que não se convence com uma boa história —e a esta altura já terá reparado que as boas histórias são precisamente o problema.

«Restrito» não é «proibido»

O NIST, na sua SP 800-63B, classifica a verificação fora de banda através da rede telefónica —ou seja, o SMS— como restrita. Vale a pena parar na palavra, porque a nuance é o artigo inteiro. Restrito não é proibido: é uma categoria intermédia e deliberada. Pode continuar a usar-se, mas quem o use assume obrigações: avaliar o risco, avisar os utilizadores de que esse canal tem uma fraqueza conhecida e ter um plano para migrar para algo melhor.

É uma posição mais inteligente do que um veto, e explica porque é que o SMS continua de pé. Um mecanismo medíocre que as pessoas usam protege mais do que um excelente que ninguém ativa. Se amanhã fosse proibido em todo o lado, boa parte dessas contas não subiria um degrau: ficaria com a palavra-passe sozinha, que é o chão.

O que fazer, por ordem

  • Se um serviço só oferece SMS, ative-o. Hoje. O primeiro degrau é o que ganha mais altura.
  • Se oferece TOTP, mude para TOTP e tire o SMS como alternativa se o deixarem. A sua segurança é a do método mais fraco que aceitar, porque é o atacante que escolhe por onde entra.
  • No que de facto importa —email, banco, gestor de palavras-passe—, ponha uma chave física. Do email pendem os «esqueci-me da palavra-passe» da sua vida inteira.
  • Se a sua operadora permitir um PIN ou um bloqueio de portabilidade, ative-o. Não resolve o fundo, mas complica o duplicado a quem liga.
  • E não se esqueça do primeiro fator. O 2FA é um segundo ferrolho, não uma amnistia para o primeiro: uma palavra-passe longa, única e saída do gerador, e se tiver dúvidas sobre alguma das que já usa, passe-a pelo verificador.

A conclusão é aborrecida e por isso quase ninguém a diz: o SMS está mal, e devia usá-lo se não tiver outra coisa. A segurança a sério quase nunca consiste em escolher a opção perfeita, mas em saber qual é a pior das boas, usá-la enquanto for preciso e nunca a confundir com ter acabado.


Fontes: NIST SP 800-63B, que classifica a verificação fora de banda através da rede telefónica pública (SMS ou voz) como método restrito, com as obrigações de avaliação de risco, aviso aos utilizadores e plano de migração que essa categoria implica · especificações FIDO/U2F e WebAuthn, e a sua verificação da origem (domínio) no momento da assinatura · RFC 6238 (TOTP) · casos públicos de SIM swapping amplamente documentados na imprensa e em processos judiciais.

← Voltar ao blog