Por muito que se aposte na segurança há sempre formas de contornar as medidas implementadas, e há uma forma bastante simples que permite a um atacante apoderar-se da conta de uma vítima mediante um aparentemente inocente registo num novo site.
A técnica é assustadoramente simples, e consiste em simplesmente atrair a vítima até um site em que esteja disposta a registar-se - algo que hoje em dia não será difícil, prometendo algo como uma app gratuita; ou o download de algum conteúdo desejado. O truque é que o processo de registo neste site estará na verdade a replicar o processo de recuperação de password no site que se pretende roubar à vítima.
Ou seja, quando o utilizador preenche o seu email, o site malicioso estará, nos bastidores, a dizer (por exemplo) ao Google, que deseja recuperar a password desse mesmo email; sendo que de seguida apresenta ao utilizador todas as perguntas que a Google lhe colocar, esperando que o utilizador responda às mesmas e as retransmita para o site alvo. A técnica permite ultrapassar todas as formas de segurança que possam existir, de forma que poderá passar despercebida à maioria dos utilizadores - muitos dos quais até deixam passar despercebido o envio de SMS que indiquem que estão a fazer o reset da password noutro serviço que não aquele em que se estão a registar.
Este é mais um motivo pelo qual nunca, mas nunca, se deve utilizar o sistema de recuperação de passwords através de perguntas como "cor preferida / nome da mãe / etc." Se um site o fizer, deverão preencher o campo com o equivalente a uma password completamente aleatória, o que neste caso impediria que a resposta a uma dessas perguntas num site pudesse ser utilizada para responder à mesma pergunta noutro site.
Por estas e por outras é que sou fã dos serviços que trocam a utilização de registos complicados e passwords pela simples utilização do email, enviando um link único de login temporário para utilizar o serviço. Acaba por ser mais simples... e acaba-se a chatice de usar passwords, sendo apenas necessário manter o acesso à conta de email devidamente protegido (afinal, se não o fizerem, todas os serviços registados com esse email já ficam automaticamente vulneráveis).
Sem comentários:
Enviar um comentário (problemas a comentar?)