O SMS pode sofrer um duro golpe ao deixar de ser o elemento mais recomendado para uso em autenticação de dois fatores ou de primeiro login em aplicativos. Segundo rascunho do relatório de diretrizes para autenticação digital (DAG, na sigla em inglês) divulgado nesta terça, 26, pela agência norte-americana de padrões de segurança e criptografia, a National Institute of Standards and Technology (NIST), o uso da mensagem de texto em celulares para autenticação de um segundo dispositivo está "obsoleto e não mais será permitido em futuras versões destas recomendações".
A NIST não atua como reguladora e suas considerações não têm força de lei, mas demais agências do governo norte-americano costumam seguir as recomendações. Além disso, a própria indústria móvel costuma se adequar aos padrões da entidade.
No documento, que pode ser lido na íntegra (em inglês) aqui, a NIST avalia que há riscos de mensagens SMS serem interceptadas ou redirecionadas. Alerta para que seja conferido se o aparelho que receberá a mensagem está em uma rede móvel de fato, e não em um serviço VoIP ou outro baseado em software. A entidade sugere como métodos mais seguros o uso de aplicações seguras ou de checagem. E também recomenda que uma mudança de número não deveria ser possível sem uma autenticação de dois fatores no momento do cadastro.
Em comunicado, o diretor de tecnologia da empresa de segurança de rede móvel Haud, Kevin Panzavecchia, contesta a recomendação do órgão norte-americano. Segundo ele, embora o SMS "realmente encare alguns desafios, é impossível ignorar os vários benefícios que oferece em segurança". Entre os fatores, ele destaca o fato de a mensagem de texto ser compatível com virtualmente qualquer aparelho. Afirma ainda que as operadoras têm o papel de assegurar as redes para este tipo de tráfego, implantando firewall para filtrar e proteger o envio de SMS.