0
0
O Google atualizou o Google Authenticator, seu aplicativo autenticador móvel para fornecer códigos de autenticação única baseados em tempo, e agora permite que os usuários sincronizem (efetivamente: faça backup) de seus códigos com sua conta do Google.
Uma opção muito esperada
Antes dessa atualização, perder o dispositivo móvel com o Google Authenticator criava muitos problemas para os usuários finais e os departamentos de TI corporativos.
“Como os códigos de uma só vez no Authenticator eram armazenados apenas em um único dispositivo, a perda desse dispositivo significava que os usuários perdiam a capacidade de fazer login em qualquer serviço no qual configurassem o 2FA usando o Authenticator”, disse Christiaan Brand, gerente de produtos do grupo no Google.
“Com essa atualização, estamos lançando uma solução para esse problema, tornando os códigos únicos mais duráveis, armazenando-os com segurança na Conta do Google dos usuários. Essa mudança significa que os usuários estão mais protegidos contra o bloqueio e que os serviços podem contar com os usuários que mantêm o acesso, aumentando a conveniência e a segurança”, acrescentou Brand.
Como fazer backup de seus códigos do Google Authenticator
Os usuários do aplicativo devem primeiro atualizá-lo para v6.0 no Android e 4.0 no iOS. Em seguida, eles serão solicitados a fazer login na Conta do Google para que o Autenticador possa fazer backup automático dos códigos.
Mais tarde, eles podem ser sincronizados perfeitamente com um novo dispositivo depois que o aplicativo Google Authenticator for instalado nele e conectado à Conta do Google dos usuários.
Um recurso semelhante ou igual já está disponível em outros aplicativos de autenticação populares.
Por exemplo, o Authy criptografa e armazena os códigos 2FA dos usuários na nuvem, e o Raivo OTP permite que os usuários exportem suas senhas únicas para arquivos ZIP criptografados e as sincronizem (criptografadas) com o Apple iCloud. O Microsoft Authenticator também tem a opção de backup/sincronização criptografada.
Observações relacionadas com a segurança e a privacidade
O novo recurso de sincronização na nuvem é opcional: você ainda pode usar o Google Authenticator sem fazer login na sua Conta do Google, e seus códigos 2FA permanecerão exclusivamente no seu dispositivo.
Se você fizer isso, porém, e um hacker obtiver acesso à sua conta do Google, ele poderá conectar um dispositivo por conta própria a ele e sincronizar esses códigos de backup com ele. Eles também saberiam os nomes de usuário dessas contas, pois são usados para distinguir os códigos 2FA para cada serviço. Eles então só precisariam phishing ou adivinhar as senhas – ou comprá-las on-line se tiverem sido comprometidas em uma violação anterior e não alteradas.
Pesquisadores de segurança da Mysk também apontaram que os códigos de backup não são criptografados de ponta a ponta (E2E), o que significa que o Google pode acessá-los. Em teoria, insiders mal-intencionados podem acessar a conta de um alvo e sincronizar os códigos com outro dispositivo. Nem todos os atacantes são externos, afinal.
Eles também observaram que, quando você pede ao Google para exportar dados associados à sua conta, os segredos 2FA não são incluídos no download.
Seria bom saber como o Google lida com os códigos de backup e se há uma opção de “não sincronização” também (não a encontramos). Do jeito que as coisas estão, do ponto de vista da segurança e da privacidade, essa é uma opção útil que parece ter sido mal implementada.
Entramos em contato com o Google para obter respostas a essas perguntas, mas ainda não recebemos resposta. Com a RSA Conference em andamento, isso não é totalmente inesperado.
ATUALIZAÇÃO (27 de abril de 2023, 06:58 a.m. ET):
Christiaan Brand, gerente de produtos do Google, diz que a empresa planeja oferecer o E2EE para o Google Authenticator “no futuro”.
“No momento, acreditamos que nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos em relação ao uso off-line. No entanto, a opção de usar o aplicativo off-line continuará sendo uma alternativa para aqueles que preferem gerenciar sua estratégia de backup”, acrescentou.
FONTE: HELPNET SECURITY