Por Frederik Mennes
Bancos e fornecedores de serviços de pagamento às vezes confiam no SMS para verificar a identidade de uma pessoa que deseja fazer uma transferência de fundos ou confirmar um pagamento.
Eles enviam uma mensagem SMS com uma senha de uso único para o celular do cliente e o usuário deve inserir essa senha na aplicação do banco ou do provedor de serviços de pagamento.
É hora de discutir se essa modalidade de autenticação será ainda aceita quando os requerimentos da Autenticação Forte para o Consumidor (SCA) ganhar força sob a Diretriz Revisada de Serviços de Pagamento (PSD2).
Em agosto do ano passado, a Autoridade Bancária Europeia (EBA) publicou o rascunho de sua proposta para o Padrão Técnico de Regulação (RTS) em Autenticação Forte para o Consumidor (SCA). Minha análise tem como base esse adendo para PSD2. Esperamos que a EBA finalize o RTS nas próximas semanas.
Com o objetivo de responder se a autenticação com base no SMS ainda será aceita, vamos considerar três cenários.
Cenário 1 – Autenticação em dois dispositivos
Nesse caso são empregados dois dispositivos independentes: um para acesso ao site do banco ou ao aplicativo, e outro para a autenticação do pagamento. O primeiro, o dispositivo do banco, é tipicamente um computador de mesa, um laptop ou um celular ou tablet que roda a aplicação móvel do banco. O segundo, de autenticação, é móvel e recebe o SMS.
Assumimos que o usuário se autentica através do site do banco ou de aplicativo empregando a senha de uso único enviada por SMS e outra senha ou PIN. Essa solução é compatível com o RTS quando empregada para acessar o site do banco ou o aplicativo. Ela pode ser compatível para validar uma transação, mas somente se duas condições são contempladas. Primeiro, a mensagem via SMS deve conter os detalhes da transação (por exemplo, valor e destinatário). E, em segundo lugar, o conteúdo da mensagem via SMS precisa ser protegido contra alterações durante a transmissão e recebimento pelo dispositivo móvel e isso não é fácil de ser conseguido nas mensagens via SMS, já que elas normalmente não contam com esse tipo de proteção. Em resumo, a autenticação via SMS pode ser usada para acesso, mas não como autenticação.
Cenário 2 – Dois aplicativos de autenticação
Aqui não se confia em dois diferentes dispositivos, mas sim em dois aplicativos rodando no mesmo dispositivo móvel. Eles se comunicam através da chamada “comunicação app-to-app”. Definimos esses aplicativos como do banco e de autenticação, respectivamente. Esse último solicita e recebe as mensagens via SMS.
A autenticação por SMS não é compatível por duas razões: a mensagem pode ser interceptada e alterada quando em trânsito e também pode ser interceptada por um programa malicioso presente no dispositivo móvel, fazendo com que o requerimento do RTS por canais separados não seja alcançado. A solução pode ser aceita se o conteúdo da mensagem via SMS é protegido pelo emprego de um canal seguro ponto a ponto que termina no aplicativo de autenticação. Assim, somente ele pode decifrar o SMS. Todavia, esta não é a abordagem padrão.
Cenário 3: Um aplicativo de autenticação
Nesse caso o usuário não apenas emprega um único dispositivo, mas também um único aplicativo para iniciar e autenticar transações. Ele não emprega um aparelho de autenticação ou um aplicativo de forma separada e esse cenário não é compatível com os requerimentos PSD2 porque não há separação de canais. O emprego de SMS não influencia nesse fato.
Conclusão
Estamos ainda aguardando os requerimentos finais da Autenticação Forte para o Consumidor sob o PSD2. Entretanto, se nada mudar em relação à proposta em andamento, está bem claro que a autenticação baseada em SMS terá muitas dificuldades em atender aos novos requerimentos, especialmente aqueles relacionados à aprovação de pagamentos.
* Frederik Mennes, gerente sênior de marketing e de estratégias de segurança da VASCO Data Security.