Hoje é dia já todos sabemos (ou devíamos saber) algo de muito simples: Não é possível proteger a nossa propriedade na Internet (contas, mails, serviços cloud, aplicações, etc) com o tradicional par de credenciais username/password. Um estudo realizado pela Verizon em 2021 o "Verizon 2021 Data Breach Investigations Report" indicou que credenciais comprometidas tinham sido a principal forma pela qual os hackers tinham penetrado nas organizações. Os casos mais graves ocorreram quando as passwords comprometidas concediam acesso a sistemas e às redes das organizações servindo, assim, para a abertura posterior de outras portas. Em alguns casos tratavam-se de passwords de acesso a sistemas críticos para a operação que eram partilhadas entre vários utilizadores. Em Julho de 2020 soube-se que existiam 15000 milhões de contas furtadas disponíveis na "Dark web". Como resposta a esta ameaça cada vez sensível, cada vez mais frequente e financeiramente apelativa aos hackers devido à multiplicação dos ataques de ransomware e do uso de criptomoedas a maioria das organizações começou a implementar sistemas de autenticação de duplo factor (MFA ou 2FA). Esta forma de reforçar a autenticação convencional pelo par de username e password introduziu uma nova camada de segurança que trouxe um nova segurança às organizações e o seu uso começa, agora, a ser generalizado e há, de facto, estudos que provam que a autenticação MFA permite bloquear até 99.9% dos ataques automatizados. Mas como é evidente perante tal escala de ameaça à sua actividade, os hackers desenvolveram formas de contornar esta barreira. Uma das formas de contornarem o MFA passa pela ultrapassagem do MFA através dos "one-time codes" enviados por SMS para os telemóveis dos utilizadores. Com efeito, muitos especialistas em cibersegurança têm apelado ao abandono de organizações como a Microsoft e a Google de soluções MFA que dependam de SMS e de chamadas de voz. Este conselho advém da conhecida fragilidade do SMS em termos de segurança e da sua exposição a uma série de vectores de ataque. Desde logo através do "SIM swapping" e que passa pelo processo de um hacker convencer o fornecedor de serviço telefónico do utilizador de que, ele próprio, é a vítima e consegue que o operador mude o número de telemóvel para outro equipamento. Existem também ferramentas, como a Modlishka, que através de um "reverse proxy" entre o alvo e o serviço a ser interceptado captura o pin enviado por SMS. Outra forma de comprometer a segurança do MFA passa por usar o Google Play Store para instalar automaticamente uma aplicação que realiza essa captura de tráfego e que sincronize notificações entre vários equipamentos. Este tipo de ataques não podem ser automatizados em grande escala e dependem do cumprimento de um conjunto invulgar de condições para serem bem sucedido mas não exigem grandes capacidade técnicas e exigem apenas alguma subtileza, persistência e inteligência por parte do hacker e são grandemente simplificadas quando o potencial intruso tem acesso físico ao telemóvel da vítima (p.ex. um colega de trabalho ou um familiar). . 1. Comece por garantir que tem uma password complexa (aleatória) e segura. Verifique se já foi comprometida em https://haveibeenpwned.com/ e faça-o regularmente. 2. Gradualmente deixe de usar SMS para o MFA e passe a usar aplicações como a Google Authenticator ou o Authenticator da Microsoft. Estas aplicações, contudo, também podem vir a ser comprometidas mais cedo ou mais tarde. 3. O mais seguro, mesmo, é usar um device de hardware como a YubiKey para esta função. Este device USB de autenticação implica proximidade ao equipamento onde ocorre esta credenciação e, logo, é mais segura que os PINs enviados por SMS. Uma outra alternativa será a Kensington VeriMark Fingerprint (que exige um driver próprio para a funcionalidade de reconhecimento da impressão digital) ou a Titan Security Key da Google que inclui uma porta USB-A e uma chave por Bluetooth..* Rui Martins, Associação Vizinhos em Lisboa, Núcleo Vizinhos do Areeiro e IT Operations Leader em empresa nacional