Enviar códigos descartáveis por e-mail é pior do que usar senha

• Recentemente, muitos serviços passaram a adotar o método de login com código de 6 dígitos via e-mail ou número de telefone
  • o usuário informa o e-mail/telefone, recebe um código de verificação de 6 dígitos e faz login ao inseri-lo
• Esse método causa vulnerabilidades graves na segurança da conta
  • um invasor pode simplesmente inserir o endereço de e-mail de outra pessoa em um serviço legítimo para solicitar o envio de um código de verificação
  • isso cria o problema de que o usuário não consegue saber facilmente se o código recebido é realmente para uma situação legítima de uso ou se é uma tentativa de phishing
  • ferramentas tradicionais de prevenção a phishing, como password managers (gerenciadores de senhas), perdem sua eficácia
• Esse método de código de verificação vem sendo explorado de fato de forma contínua
  • um método semelhante é usado até mesmo no login de contas do Minecraft operado pela Microsoft
  • vários casos de roubo de contas foram relatados em diversas comunidades online e mídias, como Reddit e YouTube

Conclusão

O método de autenticação por e-mail com código de 6 dígitos é, em termos de segurança, mais vulnerável do que parece

• em comparação com o método tradicional de senha, o risco de phishing aumenta significativamente
• embora tenha sido adotado para melhorar a experiência do usuário ou a segurança, na prática pode causar um resultado pior