Se seu aplicativo requer o envio de Códigos de Uso Único (OTPs) para redefinição de senhas ou 2FA, como você entrega esse código importa. Enviá-lo de forma insegura anula completamente o propósito da verificação de autenticação.
O problema com OTPs via SMS
Por anos, enviar um código de 6 dígitos via SMS era o padrão. No entanto, o Instituto Nacional de Padrões e Tecnologia (NIST) depreciou o 2FA baseado em SMS.
Por quê? Vulnerabilidades na rede SS7 permitem que mensagens sejam interceptadas, e ataques de troca de SIM permitem que hackers redirecionem as mensagens de texto dos seus usuários para seus próprios telefones.
Alternativas seguras ao SMS
1. Apps Autenticadores (TOTP)
Em vez de enviar um código, o dispositivo do usuário o gera usando um segredo compartilhado. Isso é altamente seguro pois o segredo nunca trafega pela rede após a configuração inicial.
2. OTPs por Email (Com ressalvas)
Email pode ser interceptado se TLS não for aplicado, mas é geralmente considerado mais seguro que SMS se a conta de email do usuário estiver protegida por 2FA por hardware.
3. Links Mágicos Criptografados
Em vez de um OTP, envie um link criptografado especializado (similar à arquitetura do PassLink) que autentica o usuário ao clicar.
Melhores práticas ao enviar um OTP
- Sempre aplique uma janela de expiração curta (5-10 minutos no máximo).
- Aplique limite de taxa no endpoint de geração de OTP para prevenir fraude de SMS pumping.
- Nunca inclua a senha do usuário ou PII sensível na mesma mensagem que o OTP.
Compartilhando Chaves de Configuração TOTP
Ao configurar um app autenticador para uma conta corporativa compartilhada, você frequentemente precisa compartilhar o QR code ou o segredo base32. Nunca envie isso pelo Slack. Use o PassLink para gerar um link autodestrutivo para o segredo TOTP.
Experimente o PassLink — É Grátis
Crie um link criptografado e autodestrutivo em 10 segundos. Sem cadastro.
Criar um Link Secreto Agora