Apple quer simplificar verificação em duas etapas usando SMS
by Felipe DemartiniTudo sobre
Saiba tudo sobre Apple Ver mais
Em um mundo digitalmente perigoso, a verificação em duas etapas é um fator essencial na proteção de contas. Pensando nisso, a Apple deseja simplificar e padronizar esse processo, usando SMS para o envio de códigos em um formato mais simples, que seria lido pelos próprios softwares e não mais precisaria de interação humana para funcionar, ao contrário do que acontece hoje.
O projeto, postado pela empresa no GitHub, já foi assinado pelo Google e traz os elementos necessários para que possa ser usado. Uma das principais mudanças seria a utilização de um “formato leve de texto”, que une um código de uso único com link para o serviço que está sendo acessado e também caracteres especiais que verifiquem a autenticidade dessa combinação.
Ao inserir um número de telefone para verificação em um site, o usuário receberia a mensagem de texto que já seria lida automaticamente pelo navegador, com o código sendo inserido e dando acesso ao serviço. As senhas seriam utilizadas apenas uma vez e somente nos sites de onde se originaram, da forma como funciona hoje e como uma maneira de evitar fraudes e garantir a segurança das aplicações.
Ao adotar o formato, a Apple também pensa na segurança. Apesar de apostar no SMS, ainda um método não plenamente seguro para envio de códigos dessa categoria, é ele que está disponível em todos os smartphones do mercado, ao contrário de softwares de autenticação que precisam ser configurados e podem exigir um trabalho mais avançado — que, na prática, pode levar muita gente a não ativar a autenticação em duas etapas.
Com as informações de origem e os caracteres especiais embutidos no SMS, a Maçã pensa ter resolvido tais questões, apesar de admitir que as mensagens de texto ainda poderiam, sim, serem lidas pelos usuários. Por outro lado, isso de nada adiantaria, já que sem o login prévio usando usuário e senha, o acesso ao sistema de autenticação em dois fatores não adiantaria de nada para terceiros, enquanto, uma vez utilizado, o código perde validade.
Isso resolveria uma questão que, normalmente, entra no caminho do protocolo de segurança. Em ataques direcionados, hackers podem clonar o número da vítima para obter os códigos de acesso da segunda etapa de verificação, uma possibilidade que ainda existiria com o novo formato, mas seria mitigada caso os invasores não possuíssem o login e senha originais. Quem acompanha a política brasileira sabe que isso é bem possível de acontecer, mas, claro, se trata também de um tipo de golpe incomum e voltado a indivíduos específicos.
O novo formato também decorre de uma tecnologia que já existe nos iPhones. Quem utiliza o iOS sabe que, às vezes, o sistema é capaz de detectar automaticamente um código numérico enviado por SMS e pode inserí-lo em sites de forma direta, sem que seja preciso interação manual. Segundo a Apple, essa possibilidade existe, mas como não há padrão no envio das mensagens, ela acaba não funcionando bem e, principalmente, nunca de maneira direta, o que abre também a brecha de segurança citada acima.
Apesar de já contar com o apoio do Google, o projeto ainda não tem previsão de aplicação prática. A Apple também espera uma assinatura da Mozilla, que não falou sobre o assunto.