2013/02/26
Ultrapassar a Validação 2-Step do Google
Quem leva a sua segurança online a sério já saberá que deverá utilizar sistemas que não dependam unicamente de uma password, como é o caso do 2 step validation que pode ser utilizado nos serviços do Google, Dropbox, e outros. O que este sistema faz é utilizar um código de verificação adicional para além da password, e que pode ser gerado usando uma app devidamente autenticada, ou que é enviado por SMS para o vosso telemóvel.
No entanto, este sistema tem um inconveniente quando se tratam de serviços que podem ser utilizados por muitos outros programas ou serviços por exemplo, poderão querer aceder ao vosso email do Gmail a partir de um qualquer programa que não está preparado para esta validação acrescida. Para permitir estes casos, o Google permite a criação de passwords especiais para programas.
A ideia é interessante... mas poderá dar também uma falsa sensação de segurança: ao criarmos uma password específica para utilizarmos num programa cliente de emails, poderemos ficar a pensar que essa app apenas teria acesso aos emails - quando na realidade terá acesso total a toda a nossa conta do Google; e que no extremo até permitiria a atacantes obter o controlo sobre a nossa conta, ultrapassando toda a segurança que se pensa ter por via do "2 step verification".
Um programa ou alguém que se apoderasse de uma destas passwords específicas poderia facilmente aceder às configurações da conta do Google e criar um novo email de recuperação de password, ou desligar o 2-step. É uma vulnerabilidade que entretanto foi corrigida, sendo que agora o Google perguntará sempre pelo código extra de segurança caso tentem aceder às configurações mais "perigosas".
No entanto, isto não faz com que deixe de haver a necessidade de que o Google implemente algo mais ao estilo do OAuth, que permite que certos serviços externos tenham acesso apenas a certas funcionalidades. Seria bem mais lógico que ao utilizar uma App de "chat" onde quisesse usar a minha conta do Google Talk pudesse utilizar uma password que apenas permitisse fazer o chat, e que não desse acesso ao meu email, celendário, fotos, etc.
É por essas e por outras que eu - por vezes com muita pena minha - me recuso a dar acesso à minha conta do Google a toda e qualquer app "de terceiros" - mesmo quando é feito via apps específicas. Podem achar que sou paranóico (e confesso que tenho pena de por vezes ser forçado a testar alguns serviços com contas de teste em vez de usar a minha conta oficial)... mas... é daquelas coisas que não me estou a ver a mudar de ideias, pelo menos até que surjam as tais passwords de acesso limitado.
Subscrever:
Enviar feedback (Atom)
Sinceramente nunca tive problemas com isto, mas também só dou acesso a apps ou da google ou famosas o suficiente para que se houvesse algum problema o pessoal fizesse escândalo.
ResponderEliminarSinceramente para o uso que dou ainda às contas o 2 step não será muito necessário e torna-se até num inconveniente. Mas também eu não me aventuro por redes públicas e não me ponho a experimentar apps assim como quem não quer a coisa.
Penso que se pode distinguir as app
ResponderEliminar- que acedem efectivamente ao conteúdo da conta (ao Gmail, ao Google Docs...)
- que só usam a conta para autenticação, ou seja, a app pede o email e a password de uma conta Google só para validar que quem quer aceder aos serviços da app é "autêntico" (e por vezes para enviar um email para registo/alteração.
Para as últimas tenho uma conta de "faz de conta". Se a app "mal intencionada" me roubar as credenciais não vai longe, mas há sempre coisas que é melhor não caírem noutras mãos.
Para as primeiras também só uso apps conhecidas, mas há sempre umas que nem tanto.
Uma coisa é certa, periodicamente é prudente aceder à conta (em Definições > Acconts and Import > Other google accounti settings > Go to Dashboard > websites autorized to Acess the account) e "desautorizar" as app que já não se usa