A autoridade federal de cibersegurança da Alemanha está incentivando os principais provedores de webmail a ativarem a autenticação em dois fatores por padrão. A orientação vem do Bundesamt für Sicherheit in der Informationstechnik, que publicou um novo white paper descrevendo lacunas generalizadas na proteção de contas de consumidores. Segundo a agência, muitos recursos de autenticação só são visíveis após navegar por múltiplos menus, e a maioria permanece desativada, a menos que os usuários os ativem ativamente.
Dados recentes de pesquisas citados pela BSI mostram que apenas cerca de 34% dos usuários têm autenticação em dois fatores ativada em suas contas de e-mail. A agência considera o número muito baixo, dado o número com que frequência incidem de tomada de conta ligados a phishing, reutilização de credenciais e senhas fracas. Contas de webmail continuam sendo um alvo principal para atacantes porque frequentemente servem como canais de recuperação para uma ampla variedade de serviços online.
Recomendações da BSI para proteção contra padrão
No white paper, a BSI recomenda que os provedores ativem métodos fortes de autenticação por padrão, em vez de depender da ação do usuário. Os métodos sugeridos incluem autenticação em dois fatores, chaves de acesso e opções de login biométrico. Os provedores também são solicitados a garantir que as regras de senha atendam aos padrões de segurança atuais e que os mecanismos de recuperação resistam a tentativas dos atacantes de manipular informações armazenadas. A agência destaca a necessidade de instruções claras, etapas previsíveis e múltiplos canais de recuperação.
O BSI observou que processos de recuperação frequentemente falham quando atacantes alteram dados de contato ou informações vinculadas. Para enfrentar esse risco, a agência aconselha os provedores a projetarem fluxos de recuperação que verifiquem a identidade por meio de sinais confiáveis e não dependam apenas de informações de contato desatualizadas. O objetivo é evitar tanto o bloqueio da conta quanto o acesso não autorizado.
Caroline Krohn, chefe de proteção digital ao consumidor da BSI, disse que sistemas de e-mail seguros são fundamentais para a participação digital. Ela afirmou que as medidas de proteção só são eficazes quando são compreensíveis, interoperáveis e adequadas para o uso cotidiano.
O apelo por proteções contra inadimplência está alinhado com esforços mais amplos dentro da Alemanha para fortalecer os requisitos de cibersegurança em todos os serviços digitais. A BSI observou que recursos de segurança visíveis ajudam a construir confiança e apoiar o que os oficiais descrevem como soberania digital. Pesquisadores de segurança disseram que contas de e-mail comprometidas permitem que atacantes iniciem novas intrusões ao redefinir senhas, espalhar spam ou reutilizar credenciais capturadas entre as plataformas.
A agência reconheceu que a ativação padrão da autenticação forte pode criar desafios para os provedores que precisam equilibrar segurança com facilidade de uso. Alguns usuários podem ver passos adicionais de login como um incômodo. Analistas de segurança argumentam que essas preocupações são superadas pelos benefícios de elevar a proteção básica para todos os usuários. Os atacantes continuam a mirar contas de e-mail porque elas continuam sendo portas valiosas para dados pessoais e financeiros.
Os consumidores são incentivados a ativar a autenticação em dois fatores em todas as contas importantes, mesmo antes dos provedores ajustarem suas configurações padrão. Os usuários também são aconselhados a confirmar se as informações de contato de recuperação estão corretas, monitorar as contas para regras de encaminhamento incomuns e evitar depender apenas de códigos SMS, que podem ser interceptados.
As recomendações do BSI servirão como ponto de referência para discussões em andamento sobre recursos de segurança obrigatórios na Europa. A forma como os provedores responderão determinará se a autenticação padrão de dois fatores se torna uma expectativa padrão para serviços de e-mail em toda a região.