O uso de PINs (Personal Identification Numbers) enviados por SMS é considerado mais inseguro em comparação com os códigos gerados pelo Microsoft Authenticator por várias razões:

1. Vulnerabilidade a Interceptação de SMS
– Intercepção de Mensagens: As mensagens SMS podem ser facilmente interceptadas por atacantes que utilizam técnicas de ataques de engenharia social para redirecionar mensagens para um dispositivo diferente ou por meio de explorações de vulnerabilidades em redes de telecomunicações.
– Troca de SIM (SIM Swapping): Um atacante pode convencer a operadora de telecomunicações a transferir o número de telefone para um cartão SIM na sua posse, recebendo assim os SMS com os códigos de autenticação.

2. Falta de Criptografia Adequada
– Mensagens SMS Não Encriptadas: As mensagens de texto não são encriptadas de ponta a ponta, o que significa que podem ser lidas por qualquer pessoa que consiga interceptá-las durante a transmissão.
– Dependência da Segurança da Rede Móvel: A segurança das mensagens SMS depende das operadoras de telecomunicações e da infraestrutura da rede, que pode ser comprometida.

3. Limitações na Integridade e Confiança
– Falsificação de Mensagens: É possível falsificar o remetente de uma mensagem SMS, o que pode levar a ataques de phishing onde o utilizador é induzido a fornecer informações confidenciais.
– Tempo de Entrega: As mensagens SMS podem ser atrasadas ou até mesmo perdidas, o que pode comprometer o acesso oportuno e seguro a sistemas importantes.

Comparação com Microsoft Authenticator
– Criptografia de Ponta a Ponta: O Microsoft Authenticator gera códigos localmente no dispositivo e estes são encriptados, garantindo que apenas o dispositivo do utilizador tenha acesso aos códigos.
– Códigos Baseados em Tempo: Os códigos gerados por aplicações de autenticação como o Microsoft Authenticator são baseados no tempo e são válidos apenas por um curto período, tornando-os mais seguros contra tentativas de uso repetido.
– Protecção contra Phishing: Aplicações de autenticação oferecem uma camada adicional de segurança, dificultando que atacantes consigam os códigos através de técnicas de engenharia social.

Riscos para a Organização
– Comprometimento de Dados Sensíveis: Se um atacante conseguir interceptar ou redirecionar os SMS com códigos de autenticação, pode obter acesso a sistemas internos, levando a possíveis roubos de dados sensíveis, violações de privacidade e perda de integridade de dados.
– Impacto na Reputação: Uma falha de segurança resultante do uso de métodos de autenticação inseguros pode prejudicar a reputação da organização, levando à perda de confiança por parte dos clientes e parceiros.
– Responsabilidade Legal e Financeira: Quebras de segurança podem resultar em responsabilidades legais, multas regulatórias e custos financeiros associados à mitigação do incidente e reparação de danos.

Em suma, insistir no uso de PINs por SMS coloca em risco a segurança da organização devido às suas múltiplas vulnerabilidades.

Adoptar métodos de autenticação mais seguros, como o uso do Microsoft Authenticator, é essencial para proteger a integridade e a confidencialidade dos dados organizacionais.