Números de telemóvel antigos podem comprometer sistemas MFA não seguros
A autenticação multifatorial (MFA) acrescenta uma camada de segurança aos logins que é essencial para evitar acessos indesejados. Este processo de verificação utiliza um segundo dispositivo (propriedade do utilizador) como elemento adicional de verificação de identidade para o qual é enviado (ou gerado) um token que certifica a veracidade do acesso. Os sistemas de MFA mais seguros utilizam aplicações para gerar códigos temporários, mas muitos ainda dependem do envio de mensagens de texto para telemóveis (OTP). No entanto, este método pode ser ineficaz e pôr em risco a segurança do utilizador. O que acontece quando o seu antigo número de telemóvel cai nas mãos de terceiros? Um estudo recente aborda esta questão, alertando para os riscos de reutilização de números de telemóvel antigos.
Os proprietários de um número de telemóvel não os entregam normalmente por um novo número, mas isto pode acontecer quando uma operadora de telemóvel oferece ofertas atrativas para novos registos. Os proprietários podem também demorar algum tempo a comunicar o seu novo número a ser utilizado no MFA. As operadoras "reciclam" números de telefone antigos em tais casos, e acabam nas mãos de novos utilizadores. Isto não é um problema, a menos que os números estejam associados à MFA. A Universidade de Princeton publicou um estudo de aviso sobre os riscos de reutilização de números de telefone nos Estados Unidos, que é uma prática comum entre as operadoras.
Números de telemóvel antigos, uma porta de entrada para cibercriminosos
O estudo revela dados alarmantes: até 66% dos números reutilizados analisados ainda estavam ligados via MFA aos seus anteriores proprietários. Isto coloca dois problemas ao proprietário anterior: primeiro, se o novo proprietário da linha móvel quisesse, poderia aceder à sua conta utilizando autenticação multifatorial, e segundo, o proprietário anterior não teria forma de recuperar a sua palavra-passe se a esquecesse (e não seria capaz de iniciar sessão a partir de um novo dispositivo).
Para ilustrar a gravidade da questão, o estudo centra-se no caso de um proprietário de um número reutilizado, que começou a receber mensagens de texto lembrando-o de uma consulta médica para o proprietário anterior. Considerando que o MFA também se aplica aos serviços bancários, de armazenamento de dados e de fotografia em Cloud, o dano potencial é óbvio se este número cair em mãos maliciosas. Posto isto, porque que razão as operadoras reutilizam números de telefone? É simplesmente uma questão de disponibilidade: Espanha tem uma taxa de penetração móvel de aproximadamente 112% (dados CNMC, 2019), por outras palavras, há mais oito milhões de linhas do que habitantes. Considerando estes números, é fácil de compreender que os números se esgotam e as operadoras apressam-se a reutilizá-los.
Proteger a segurança dos utilizadores através do MFA não associado a um número de telefone
Para além de estar consciente do risco de esquecer as ligações MFA para o seu antigo número de telemóvel quando muda um número de telefone, é crucial proteger os telemóveis das empresas para que não dependam apenas do envio de um token para um número de telefone. O mais seguro a fazer neste caso é ligar a autenticação do utilizador ao próprio telemóvel e não à linha telefónica, ou por outras palavras, utilizar o ADN do telemóvel para verificar a autenticidade do utilizador, para que o token não possa ser repetido no mesmo dispositivo.
O Watchguard AuthPoint oferece as capacidades de segurança e todos os elementos necessários aos MSPs para assegurar a proteção otimizada dos dispositivos móveis para os seus clientes corporativos que confiam nas suas soluções. Esta sofisticada ferramenta baseia o MFA no próprio ADN do telefone, assegurando que cada dispositivo tem uma assinatura única e irrepetível que não pode ser reproduzida noutro telefone e não depende do número de telefone. É gerido diretamente a partir da Cloud, onde os alertas de login e os tokens gerados podem ser geridos. O Watchguard AuthPoint assegura logins seguros sem a necessidade de gerir os tokens, uma vez que podem ser autenticados através da aplicação móvel.