12/05/2021

12/05/2021

Google vai forçar autenticação com duplo factor

A Google relembra que a utilização de uma password, por si só, é um enorme factor de risco, e vai começar a activar a autenticação 2-factor para os utilizadores em breve.

Depois de ter passado os últimos anos a alertar para o perigo que é a utilização dos SMS para envio de códigos de autenticação, a Google prepara-se para tirar o medo a todos os que ainda não activaram a autenticação 2-factor (2FA) nas suas contas Google. A password tornou-se num dos elementos imprescindíveis da vida digital actual, sendo necessária para aceder a praticamente todo e qualquer serviço: email, bancos, redes sociais, etc. etc. No entanto, é algo que, facilmente deixa o utilizador em risco, no caso de ser roubada ou simplesmente adivinhada (para não falar de todos os programas de "brute force" que vão testando todas as combinações possíveis até a descobrirem.

A Google quer tornar a utilização de passwords numa coisa do passado, e por agora avança com a promoção da autenticação 2-factor, que diz que começará a activar para todos os utilizadores em breve.

Normalmente, o processo de autenticação 2-factor funciona da seguinte forma: o utilizador faz o login habitual no serviço, com o seu nome de utilizador e password, mas em vez de ter acesso imediato ao serviço, tem que introduzir um código adicional que varia a cada poucos segundos, normalmente gerado por uma app como o Google Authenticator, ou outras (existe um standard para a criação destes códigos, permitindo que uma única app possa gerar códigos para dezenas de serviços que usem 2FA). Mas no caso da Google o sistema torna-se ainda mais simples, dispensando a necessidade de introduzir códigos manualmente.
No sistem da Google, depois de se introduzir o nome e password, surge automaticamente uma notificação no smartphone a perguntar se somos mesmo nós que estamos a tentar fazer login na nossa conta, incluindo informação sobre o computador e a localização. Se for um login válido, bastará dizer que aceitamos, e pronto, já fica tudo arrumado, sem necessidade de códigos temporários manuais.


Muitos serviços já obrigam à utilização de métodos de autenticação 2FA e, apesar do "incómodo" adicional, é algo que deveria começar a ser prática comum para todos. Levado ao extremo, este sistema até permite que passwords básicas e repetidas ofereçam alguma segurança (não que o devam fazer) pois será praticamente impossível um atacante conseguir entrar sem o tal código ou confirmação adicional.

No entanto, há também que contemplar a possibilidade do smartphone que se utiliza para a verificação poder avariar-se ou ser roubado. Para quem puder, a solução mais fácil passa por ter um equipamento alternativo que também permita fazer essa autenticação (como um segundo smartphone, velho, ou um tablet) - caso contrário, a protecção contra hackers pode tornar-se numa protecção contra o dono legítimo (quando se activa o sistema 2FA, normalmente são dados códigos de emergência, de uso único, para contemplar essa eventualidade, permitindo entrar na conta no caso de se perder o dispositivo adicional de autenticação).

0 comments:

Enviar um comentário