Autenticação por senha de uso único (OTP): Quais são os riscos?

Mela Abesamis sempre se considerou cuidadosa quando se tratava de segurança cibernética. Ela conhecia bem os ataques de phishing e outras táticas comuns de fraude, e sabia como identificá-las. Ela também estava acostumada a receber One-Time Passcodes (OTPs) de seu banco, enviados por SMS para seu dispositivo móvel para autenticar sua identidade.

Mas, em dezembro de 2020, Mela recebeu uma mensagem de seu banco dizendo que 50.025 pesos filipinos (cerca de US$ 950) haviam sido transferidos de sua conta para Mark Nagoyo. Essa foi a primeira e única indicação que ela recebeu de que o dinheiro havia sido transferido. Ela nunca tinha ouvido falar de Mark Nagoyo, certamente não tinha feito o pagamento e não tinha recebido uma senha de uso único durante a transação.

Ela não estava sozinha. Mais de 700 titulares de contas foram afetados pela fraude. Em filipino, a palavra "nagoyo" significa fazer alguém de bobo.

Quatro indivíduos acabaram sendo indiciados pelo golpe. Os fraudadores usaram uma combinação de engenharia social e técnicas de phishing para coletar os detalhes de login bancário e os números de celular de centenas de cidadãos. Com esses dados, eles podiam interceptar OTPs de SMS e drenar as contas bancárias das pessoas.

O banco reembolsou os valores afetados, mas isso não compensou totalmente a experiência traumática das vítimas.

Autenticação por OTP: Qual é o problema?

Esse é apenas um exemplo de como comprometer a autenticação OTP está se tornando cada vez menos um desafio para hackers cada vez mais sofisticados. Parece que a autenticação OTP não é mais adequada ao propósito como método de segurança. No entanto, ela continua sendo um processo de verificação comum para organizações em todo o mundo.

Este artigo analisa os riscos de segurança associados à autenticação OTP. Ele discute como os hackers conseguem comprometer o processo e propõe alternativas mais seguras e acessíveis para a verificação de identidade.

O que é autenticação OTP?

Se você já usou serviços bancários on-line, é provável que tenha feito uma autenticação OTP.

Um OTP (One-Time Passcode, código de acesso único) é um código gerado por computador entregue por e-mail, SMS (Short Message Service, serviço de mensagens curtas) ou token de hardware. O código serve como uma forma de autenticação ou verificação de que você é quem diz ser porque está de posse do seu dispositivo.

Em seguida, você insere o código do seu SMS no campo on-line para obter acesso a um determinado site ou aplicativo. O código expirará em um tempo limitado. 

A autenticação OTP é frequentemente usada como um método de autenticação multifatorial (MFA) e atende aos requisitos o que você tem fator de garantia.

A autenticação multifatorial requer dois ou mais dos seguintes elementos:

• Conhecimento: algo que somente o usuário sabe - por exemplo, uma senha ou PIN
• Posse: algo que somente o usuário possui - por exemplo, um aparelho celular ou token
• Inerência: algo que o usuário é - por exemplo, uma biometria

Os dois fatores também precisam ser independentes um do outro. O objetivo é dificultar o acesso de uma pessoa autorizada a uma conta por meio da segurança em camadas.

No caso de OTPs, oo que você tem é seu dispositivo móvel.

Os principais tipos de autenticação OTP:

• Autenticação por SMS OTP: Uma senha de uso único é enviada ao seu dispositivo móvel por mensagem de texto.
• TOTP (Time-Based One-Time Passcode, senha única baseada em tempo): Você é instruído a abrir um aplicativo autenticador no qual encontrará uma senha. Você tem de 30 a 60 segundos para inserir a senha no site, aplicativo ou portal que está tentando acessar antes que ela expire.
• Tokens de hardware: Um dispositivo físico (não um celular) exibe uma senha de uso único que permite o acesso a um site, aplicativo ou portal.

Quais são os riscos de segurança da autenticação OTP?

O problema fundamental com a autenticação OTP é que ela atende apenas ao o que você tem de autenticação (também conhecido como fator de posse). O que você tem - seja o seu celular ou token de hardware - pode ser perdido, roubado ou comprometido.

Riscos de segurança da autenticação por SMS OTP

Conforme demonstrado no caso das Filipinas, os hackers não precisam roubar seu celular para comprometer a autenticação por SMS OTP. Na verdade, eles não precisam estar perto de você.

As mensagens de texto não são criptografadas e estão vinculadas ao seu número de telefone e não a um dispositivo específico. Abaixo estão dois tipos de ataques comuns que permitem que os hackers interceptem a autenticação SMS OTP:

• Trocas de SIM. O fraudador coleta detalhes pessoais da vítima, seja por meio de phishing ou engenharia social. Ele usa esses dados para convencer a operadora telefônica a trocar o número para o seu dispositivo. O SMS OTP é então enviado ao invasor, permitindo que ele verifique e conclua a atividade.
• A falha do SS7. O SS7 (Signaling System No. 7) é um protocolo que facilita todas as atividades dos telefones celulares, inclusive as mensagens SMS. O problema é que ele inclui uma falha de projeto que significa que os hackers podem interceptar chamadas e mensagens SMS.

Quando o protocolo SS7 de um provedor de rede móvel é comprometido com sucesso, os invasores têm acesso a uma grande quantidade de dados pessoais dos usuários. O mais importante é que eles podem interceptar mensagens SMS e chamadas telefônicas.

Isso não só permite que os invasores autentiquem atividades fraudulentas usando OTPs, como também permite que eles façam isso em grande escala.

Na Alemanha, em 2017, os fraudadores comprometeram o protocolo SS7 da 02 Telefônica e interceptaram OTPs de SMS. Isso fez com que um número não revelado de titulares de contas bancárias tivesse seus fundos removidos de suas contas.

Riscos de segurança da autenticação TOTP

O TOTP e a autenticação baseada em aplicativo oferecem mais segurança do que sua contraparte SMS. O fato de a OTP mudar constantemente e não estar vinculada ao seu número de telefone dificulta o comprometimento por parte dos invasores.

Dito isso, a autenticação TOTP não é totalmente isenta de falhas. Por exemplo:

• Vulnerabilidade do dispositivo. A autenticação TOTP ainda atende apenas ao o que você tem fator de autenticação. Não importa quão criptografada seja a OTP, a realidade é que seu dispositivo pode estar em risco. Os dispositivos móveis podem ser perdidos ou roubados.

Isso questiona se a autenticação por OTP pode realmente ser classificada como MFA. Se um invasor roubar seu celular, realizar uma atividade (como fazer um pagamento on-line) e depois usar seu aplicativo autenticador TOTP para autorizá-la, podemos realmente dizer que ele usou vários fatores? Afinal, tudo isso aconteceu no mesmo dispositivo.

Por outro lado, a autenticação facial do iProov é fora da banda - a tipo de autenticação A tecnologia iProov pressupõe que o dispositivo foi comprometido e, portanto, a autenticação é processada de forma segura e privada na nuvem. Uma autenticação iProov é, portanto, independente do dispositivo que está sendo usado. Mesmo que um agente mal-intencionado tenha acesso total ao dispositivo de outra pessoa, o processo de autenticação permanecerá seguro.

A autenticação OTP oferece uma experiência de usuário desatualizada?

A pandemia global forçou muitas pessoas a realizarem suas atividades diárias remotamente. Isso levou ao aumento da demanda por experiências de usuário rápidas, sem esforço e inclusivas.

No entanto, a experiência que a autenticação OTP proporciona tem suas deficiências. Vamos discuti-las aqui.

Processo ativo 

Um processo ativo, nesse sentido, significa que o usuário precisa fazer algo para que a atividade funcione. Com relação à autenticação OTP, isso significa recuperar seu telefone ou hard token.

Isso pode ser irritante. É possível que você não tenha seu dispositivo com você o tempo todo. Portanto, é necessário buscá-lo para concluir a atividade, o que aumenta o atrito com a experiência do usuário.

Esse é especialmente o caso do TOTP. A natureza sensível ao tempo desse processo de verificação pode fazer com que a senha de uso único expire antes que você possa usá-la. Muitas vezes, os usuários ficam tão exasperados com o procedimento que abandonam toda a atividade.

Dependência do sinal telefônico

A autenticação OTP baseia-se na suposição de que você tem um sinal telefônico ou acesso à Internet. Caso contrário, ela não funciona. Com o SMS OTP, a falta de um sinal forte pode atrasar a senha, o que significa que você terá de esperar para concluir a atividade.

Digamos que você esteja tentando comprar passagens aéreas com urgência ou que um membro da família esteja realmente em uma situação difícil e precise de dinheiro. Você inicia a transação on-line e o SMS OTP é enviado para você, mas você não tem sinal de telefone.

Você não recebe a OTP e não tem outra maneira de fazer a compra ou transferir os fundos para ajudar seu familiar.

Falta de inclusão

Por fim, a autenticação OTP pressupõe erroneamente que todos têm acesso a um dispositivo móvel. Nem todo mundo tem. A pandemia global forçou todos - proprietários de celulares ou não - a realizar serviços de acesso remotamente.

Por que a verificação biométrica é uma alternativa melhor à autenticação por OTP?

Considerando que a autenticação OTP atende aos requisitos de o que você tem fator de autenticação, a verificação biométrica emprega o que você é verificação. Isso significa que ela usa suas características inerentes, como seu rosto, para verificar sua identidade.

Embora uma senha de uso único possa ser perdida ou roubada, ninguém pode roubar seu rosto. Sendo assim, autenticação biométrica pode oferecer um método mais seguro para as organizações verificarem os usuários em relação a uma identificação emitida pelo governo (que geralmente usa fotos do rosto) para validá-los durante a durante a integração e o registro.

Qual é o peso da vivacidade em relação à autenticação OTP?

Como dito anteriormente, suas características inerentes, como seu rosto, não podem ser roubadas. Mas elas podem ser copiadas. Os invasores podem apresentar uma máscara, imagem ou gravação da vítima à câmera para falsificar o processo de autenticação.

É aí que entra a vivacidade. Detecção de vivacidade usa tecnologia biométrica para verificar se um usuário on-line é uma pessoa real. A autenticação OTP não pode oferecer esses níveis de garantia. Mark Nagayo não era uma pessoa real, mas os golpistas conseguiram verificar centenas de transações usando credenciais roubadas.

Qual é a diferença entre a verificação biométrica da face e a autenticação por OTP?

A detecção de vivacidade usa a verificação facial para garantir que se trata da pessoa certa e de uma pessoa real - duas camadas de segurança que a autenticação por OTP não consegue atingir.

No entanto, a detecção de vivacidade não pode verificar se uma pessoa está verificando no momento. As soluções biométricas baseadas na ciência do iProov, por outro lado, podem. Isso é feito com o Flashmark™ do iProov, que ilumina o rosto do usuário remoto com uma sequência única e aleatória de cores que não pode ser reproduzida ou manipulada sinteticamente, impedindo a falsificação.

Diferentemente da autenticação por SMS OTP, que usa redes telefônicas comprometidas para fornecer senhas, a iProov é uma tecnologia baseada em nuvemo que significa que suas defesas ficam ocultas dos invasores, tornando muito mais difícil para eles interceptarem dados vitais.

Conforme discutido, a autenticação OTP não consegue proporcionar uma experiência de usuário sem esforço, principalmente porque força os usuários a um processo ativo. O GPA, por sua vez, é totalmente passivo. Usando qualquer dispositivo com uma câmera frontal (um telefone celular, um laptop, um quiosque), os usuários simplesmente precisam olhar para a câmera e a autenticação será feita para eles. A autenticação funciona independentemente da capacidade cognitiva, pois não há instruções complexas para ler, entender ou executar.

Se você deseja tornar a integração ou autenticação de seus clientes on-line mais segura e fácil e deseja se beneficiar da autenticação biométrica, solicite uma demonstração aqui.