2017/09/30

Google prepara segurança reforçada para o Gmail


A segurança tem sido, cada vez mais, um tópico sensível e a Google (Alphabet) quer estar na linha da frente para assegurar a segurança dos dados nos seus serviços, e prepara-se para o fazer muito em breve com o Advanced Protection Program.

O roubo de dados tem sido uma constante quase diária, a todos os níveis, e por vezes com consequências significativas (como o caso do acesso ao Gmail de John Podesta, gestor de campanha de Hillary Clinton, o ano passado). Para evitar que casos idênticos voltem a suceder, a Alphabet vai revelar um novo programa de segurança que vai para além do actual sistema de autenticação 2-factor.

O Advanced Protection Program será orientado para utilizadores com necessidade de segurança acrescidas, como políticos (estes deveriam ser obrigados a publicar todos os emails enquanto ocupam cargos públicos! ;P), gestores, jornalistas, etc. e - basicamente - duplicariam a segurança usando uma táctica bastante simples: recorrendo a duas chaves físicas de segurança.

Actualmente já é possível proteger o acesso aos serviços da Google usando uma chave de segurança física (como as Yubikey de que falamos recentemente) mas, para segurança reforçada, chaves reforçadas: e assim não bastaria uma única chave para acesso indiscriminado ao email - imagino que funcionaria no sentido de uma chave dar acesso "simples", sendo necessária a segunda chave para acesso "total"... mas, também fica a questão de como, se eles admitem que o sistema de uma chave seria vulnerável, o que evitará este de duas chaves de não o ser?

Saberemos em breve, pois este Advanced Protection Program deverá ser revelado publicamente já no próximo mês.

1 comentário:

  1. Aparentemente querem impedir o acesso de terceiros às mensagens em si, para não as conseguirem furtar através de terceiros.
    Por outro lado eles poderiam melhorar a segurança impedindo a recuperação de acesso, é que actualmente tem 6 formas diferentes de a pessoa poder aceder à conta (palavra-passe, palavra-passe antiga, quando é que criou a conta, código do gerador de senhas temporárias, código de 8 dígitos, enviar para email alternativo). Que tal: se perder os dados de acesso não entra mesmo? Sempre se evitava que explorassem outras formas de entrar. Nada conveniente se perder/ esquecer-se dos dados, mas também menos conveniente para quem tenta aceder de forma ilegítima.
    Por outro lado consigo imaginar que possam simplesmente abandonar o utilizador e senha de uma só vez por exemplo utilizando o SQRL https://www.grc.com/sqrl/sqrl.htm em que é utilizado a tecnologia de chaves públicas/ privadas dificultando ainda mais o furto dos dados de acesso em si se correctamente integrado... em especial se utilizarem um dispositivo dedicado só para isso que não precisa de ser maior que uma calculadora de carteira ou até mais pequeno tipo pen usb se for só para aceder mesmo só a uma conta e não se quiser aceder a mais que uma de forma fácil.

    ResponderEliminar

[pub]