O 2FA por SMS não é apenas inseguro, mas também hostil para quem vive nas montanhas
(blog.stillgreenmoss.net)- A autenticação em duas etapas (2FA) baseada em SMS não é apenas insegura, como também causa grande inconveniência para moradores de regiões montanhosas
- Em áreas montanhosas com sinal de celular fraco, é difícil receber os códigos de autenticação enviados por SMS
- Apenas chamadas por Wi‑Fi ou o uso de um smartphone não bastam para resolver o problema do 2FA
- O método TOTP (senha de uso único baseada em tempo) pode ser uma alternativa, mas o acesso à configuração inicial não é fácil
- Explica a situação absurda enfrentada por milhões de moradores de áreas montanhosas no processo de login em sites
Visão geral do problema
- A amiga do autor é uma mulher na faixa dos 70 anos que vive na região montanhosa da Carolina do Norte
- Ela não gosta de computadores, mas participa de chats em grupo no Signal e usa smartphone para se comunicar com a comunidade
- Ela usou telefone fixo por muito tempo, o que funciona bem com aparelho auditivo
- A Spectrum tem monopólio local de telecomunicações, e ela usa tanto telefone fixo quanto internet a cabo pela Spectrum
Surgimento do problema com serviço celular e 2FA por SMS
- Alguns anos atrás, ela assinou o serviço móvel da Spectrum Mobile, que usa a rede da Verizon
- Em casa, quase não há sinal de celular. Fica a 20 minutos de carro do centro urbano e há muitos vizinhos
- Todas as contas principais (e‑mail, banco, plano de saúde etc.) tentam enviar códigos de 2FA por SMS
- Os códigos por SMS não chegam. Em casa falta serviço celular e, mesmo com chamadas por Wi‑Fi ativadas, SMS de segurança enviados por números curtos (5 dígitos) não são entregues
- Ela usa iPhone recente e equipamentos fornecidos oficialmente, e sabe usá-los
Busca por alternativas e suas limitações
- Alguns telefones fixos oferecidos por ISPs têm recurso de ler SMS em voz sintetizada no computador, mas a Spectrum não oferece isso
- Alguns sites permitem mudar para 2FA via TOTP, mas é necessário conseguir acesso no momento do primeiro login
- Procedimento trabalhoso para tentar resolver:
- Fazer uma lista dos sites em que o login falha
- Ir até a cidade para encontrar a amiga e tentar resolver o problema
- Tentar, um por um, mudar para TOTP ou outro método; alguns nem oferecem suporte
- Tentar falar com o atendimento ao cliente, o que é difícil ou impossível
Alternativas praticamente inviáveis
- Portar o número para VOIP para tentar receber SMS de números curtos
- Gastar centenas de dólares para instalar um amplificador de sinal celular
- Até considerar se mudar de residência
- O texto aponta o quão irracional é precisar de tudo isso para fazer um único login
Problema de confiabilidade dos mapas de cobertura celular
- No mapa de cobertura da Spectrum, a casa e os arredores aparecem com serviço perfeito
- Na prática, não há serviço na casa, e basta andar 100 metros para o sinal desaparecer
Dificuldade comum a inúmeras pessoas que vivem em áreas montanhosas
- Um amigo millennial também descreveu que "2FA por SMS é um sofrimento na vida"
- Mesmo em lugares que não ficam em vales profundos, ainda há problemas causados pelo 2FA por SMS
Limitações e dificuldades do método TOTP
- TOTP também não é perfeito
- Exige instalar um aplicativo separado
- O processo de escolher qual app usar é complexo e cheio de explicações técnicas
Resumo e a questão da escala
- O motivo de o 2FA por SMS ser tão amplamente usado é sua UX intuitiva e um certo grau de confiabilidade
- No entanto, 1,1 milhão de pessoas na região montanhosa da Carolina do Norte e 25 milhões em toda a Apaláchia, entre outros milhões, vivem em condições precárias
- Mesmo com internet, o sinal de celular é muito ruim
- Falta uma alternativa razoável ou consideração adequada para quem mora nessas regiões
Ainda não há comentários.