2011/02/18

Duplicar a Segurança do Google com o 2-step Verification

Depois de no outro dia vos ter falado do novo sistema 2-step verification do Google, que adiciona um código extra de validação, para além da password, para maior segurança da vossa conta, eis que ontem decidi ir ver se já estava disponível na minha conta... e resolvi activá-lo.


Em primeiro lugar, se esta opção ainda não vos aparecer na vossa conta do Google, o mais provável é que tenham que colocar as definições/linguagem do vosso browser em inglês para que vos mostre a página inglesa e não a portuguesa. Na página de conta em Português a opção ainda não está disponível.

Vou contar-vos então que tal foi esta aventura... que acabou por me roubar algumas horas que teriam sido melhor passadas a dormir!



A Activação do 2-step verification do Google

O processo é simples, começando por perguntar qual o vosso dispositivo principal: iPhone, Android, Blackberry, ou um telemóvel normal.

No caso dos smartphones, é pedido que instalem o Google Authenticator App. que vos permitirá ter um código de segurança que está continuamente em mutação, sem que precisem de ter acesso à net ou sequer que tenham saldo no telemóvel.
Depois de "ligada" à vossa conta, o que pode ser feito de forma simples através de um QR Code que aparece no ecrã (ou então introduzindo os dados manualmente), a App apresenta-vos códigos que vão mudando após uma dezena de segundos, ciclicamente (pelo menos no caso do iPhone - nos outros penso que o processo é manual.)



Por esta altura devem estar a pensar o mesmo que eu: "Isto é tudo muito bonito, mas... e se eu perco o telemóvel? Como é que vou conseguir entrar na minha conta do Google?"

Calma, pois o Google também pensou nisso.

Para além deste método principal, podem ainda introduzir um número de telefone secundário, onde poderão receber um SMS com o código de validação.

E, se mesmo esse telefone secundário estiver indisponível/inutilizável; o Google fornece-vos 10 códigos de "backup" que poderão utilizar caso necessário.


Se estão a pensar que agora os telemóveis ou o papel com os 10 códigos são um risco de segurança; relembrem-se que são apenas um complemento extra à vossa password, que continuará a ser o elemento essencial de segurança.
Ou seja, mesmo que consigam descobrir os meus 10 códigos backup, ou espreitar os códigos debitados pelo meu iPhone/Android - continuam a ter que descobrir a minha password para que consigam entrar na minha conta do Google.

O que isto permite é que: caso alguém apanhe a minha password (por exemplo, um keylogger trojan escondido num computador de um amigo - ou no nosso próprio computador!) esta acabe por se tornar inútil, sem que essa pessoa consiga aceder também a esta segunda "dose" de protecção.


Hesitações

Tenho que confessar: por várias vezes a meio do processo dei comigo a pensar: "Humm... será que vale mesmo a pena a trabalheira extra para fazer login no Google?"

... Mas logo de seguida era assolado pelo "pesadelo" que seria um qualquer dia, chegar a um computador, tentar fazer login no Google, e este me informar que a password não era correcta - e que a minha conta tinha sido "capturada" por alguém! Não sei se isso seria grande problema para vocês, mas para mim... tenho muita, muita coisa arquivada e guardada nos diversos serviços do Google: do Gmail ao Docs, sem esquecer os blogs, e... afinal... praticamente tudo o que de "virtual" tenho!

Ou seja... acho que mais vale um pequeno incómodo ocasional, face à segurança extra que este serviço de segurança acrescida proporciona!


O "dia seguinte"

Por acaso foi logo no minuto seguinte, mas pronto... Com o processo activado, o Google informa-vos que todas as vossas sessões actuais irão ser encerradas, para que seja feito o novo login seguro.

Na minha página de gmail sempre aberta, a habitual pergunta de nome e password surgia. Só que desta vez foi seguida pela pergunta adicional do código de segurança.
Boa... lá peguei eu no iPhone, meto o código... e pronto. Tudo a funcionar a 100%!
(Para evitar chatices, podemos optar por fazer a pergunta adicional apenas passados 30 dias... o que é conveniente quando estamos nos nossos computadores "de confiança".)

Estando com a conta aberta, todos os outros serviços de Google estavam acessíveis como de costume, sem chatices.


As passwords "a pedido"

Como há "milhões" de situações em que precisaremos de usar as credenciais do Google em circunstâncias que não estão preparadas para gerir o código adicional de segurança; o Google permite a criação de passwords aleatórias por serviço.

Por exemplo, para se validarem no vosso iPhone ou Android, será necessário criarem passwords individualizadas no Google Accounts.


Nada vos impede de dizerem que querem criar uma pass para "Android" e usarem-na num iPhone, mas a ideia é criar passwords associadas a equipamentos ou serviços, e que podem assim gerir mais facilmente - eliminando o seu acesso quando deixar de ser necessário. E mais importante ainda... sem que nenhum desses serviços fique a conhecer a vossa password real.


No iPhone

Como era previsível, tentar aceder ao email ou ver os calendários no iPhone era agora impossível. Criei uma password para ele, e actualizei a minha conta de email, calendário, e do Latitude para essa nova password.
Imeditamente tudo ficou funcional, e dei comigo a pensar: "afinal isto é canja... não há razões para ter medo!"


No Android

Pego então no meu Sapo A5 "Bacalhau", contando arrumar o assunto e ir dormir finalmente (aviso à navegação: quando se lembrarem de se aventurarem em experiências inovadoras... não o façam quando já é hora de ir dormir, pensando que vai ser "rapidinho"...)

E eis que me surge a surpresa da noite.
Obviamente, o Android estava já a queixar-se que não conseguia fazer a sincronização da minha conta Google.
Vou à secção das contas.... mas... e onde está a opção de editar a conta Google que lá tenho!?! Não há!

Ok, penso eu... basta eliminar e voltar a adicionar! Vamos a isso...

E deparo-me com mais outra surpresa: "Não é possível eliminar a sua conta, já que está associada a vários serviços, etc. Se quer remover a conta, tem que fazer factory reset."

Factory Reset!?! Apenas para mudar o raio de uma password??? Ainda por cima de uma conta do Google, num sistema operativo do Google!?! Mau...

Depois de vários minutos a tentar dar a volta, lá teve que ser... confiar nas capacidades de sincronização do AppBrain (já que o WebMarket é muito lindo, mas não deixa fazer de forma simples uma "reposição" de tudo o que temos) e siga para factory reset!

A meio do processo lá recebi indicação de pessoas que disseram que nos seus Android ele voltou a pedir a password automaticamente sem necessidade de reset, ou que fosse apagar os dados da conta na secção de App Management, escolhendo o programa, detalhes, limpar dados da App, ou coisa semelhante...
Não sei... o processo já ia a meio e eu já nem via nada à frente... e uma coisa que poderia (deveria!) ser tão simples como "Gestão de contas->Editar conta" e meter uma nova Password, tinha agora já queimado mais de 1h do meu tempo e paciência...

Mas não se assustem... considerando a hora a que fiz isto (novamente: aviso de não tentarem "aventuras" em horários impróprio), não me admira nada que a notificação de erro permitisse clicar e dar para editar a passwords... mas eu já não via nada à frente. :P
(De qualquer forma, sendo o Android um OS conhecido por dar todas as opções e mais algumas, não deixa de ser obscuro que para mudar uma password, tenha que se causar um "erro", e só daí se possa introduzir uma nova password. Digo eu...)

Conclusão

Mesmo com toda esta aventura, o resultado final é positivo...
Se usam o Google de forma "séria", e conseguem imaginar o desespero que seria alguém apoderar-se da vossa conta, parece-me que as vantagens deste sistema 2-step se justificam face ao ligeiro incómodo acrescido.
Por outro lado, é da forma que também incentiva uma política de utilização de passwords mais "segura"; já que noutros serviços irão ser obrigados a gerar passwords "individuais" de acesso ao Google, que podem revogar a qualquer momento.

(Aliás, isto era uma coisa que poderia muito bem ser disponibilizada mesmo para quem não pretendesse usar o 2-step validation!)

Assim, é da forma que eu até já poderei experimentar alguns serviços - que até ao momento, assim que me pediam a minha password do Google, eu cancelava imediatamente. ;)

6 comentários:

  1. Carlos:

    hehe. Não experimentei o serviço, mas já alterei a minha pass da conta google.. e o Android pediu-me a nova. Ponto.

    Portanto, ou o sone estava em alta.. :) ou tens alguma app/definição no A5 que te complicou a coisa..

    ResponderEliminar
  2. Quando foi publicado o primeiro post sobre o 2-step fui ver isso na minha conta (com lingua PT) e estava lá a opção, no entanto deu esta msg:
    "This is an advanced feature. 2-step verification for this account will be available soon."

    Se tentar fazer novamente ja nao aparece a opçao, excepto se alterar a linguagem para ingles tal como sugerido. No entanto da a mm msg.

    ResponderEliminar
  3. eu ta na altura de mudar as minhas passes...
    vou ter q mudar a da google account à tua frente para veres o pop up? :P

    ResponderEliminar
  4. Falhou aí qualquer coisa, eu já estou utilizar a este serviço há vários meses a e integrou-se na minha rotina sem problemas (e sem fazer factory reset ao meu android).

    Para além disso, mesmo sem aderir ao "2-step verification", é possível revogar os acessos concedidos anteriormente escolhendo nas definições pessoais da conta a opção "Autorizar aplicações e sites".

    ResponderEliminar
  5. Na ROM 2.3 que instalei ontem no meu HTC Magic dá para remover a conta Google associada. E até dá para associar várias.

    ResponderEliminar
  6. Também já uso o 2Step verification.

    Achei necessário a partir do momento em que tinha varias aplicações e serviços configurados a mandarem mails com informações usando a minha conta de e-mail e sabendo obviamente a password.

    Para esses e para os Androids e iPhones uso e criei uma password genérica para todos eles. Não tive problemas em alterar, nem no Android.

    E sim é preciso ter o browser em Inglês para a criação do 2-Step!

    ResponderEliminar

[pub]