Já falei quinhentas vezes a merda que é usar o SMS como forma de segurança (seja para recuperação de senha ou como verificação em 2 etapas), pois basta ter acesso físico ao seu celular que mesmo com senha é possível, basta retirar o chip e colocar em outro celular desbloqueado, apenas para ler o SMS, ou então usando engenharia social na operadora para encaminhar as ligações/sms para outro número. Ou simplesmente interceptar através da falha (ou feature, segundo os conspiracionistas).
Alguns funcionários do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos da América acessam o melhor blog do cone sul e resolveram mudar.
O NIST (National Institute of Standards and Technology) publicou hoje um plano com as diretrizes para autenticação digital que pretende banir de vez esse lixo de autenticação via SMS, porque é completamente inseguro.
"Due to the risk that SMS messages may be intercepted or redirected,
implementers of new systems SHOULD carefully consider alternative
authenticators. [...] OOB using SMS is deprecated, and may no longer be allowed in future releases of this guidance."
Tem muita coisa. Ainda fala que o uso da biometria deverá ser usado junto com outro fator (como senha ou token) e outras coisas.
Mas Raposão, o que isso significa na prática?
Significa que as empresas dos EUA deixarão de usar o SMS e o resto do mundo eventualmente também.
Fico feliz em saber que minhas críticas foram ouvidas por esse importante Instituto e que minhas sugestões foram ouvidas. Esses blogs lixo só sabem falar de Uber, SpaceX, Pokemon Go etc.