2021/05/06

Google vai activar autenticação 2FA para todos os utilizadores

A Google relembra que a utilização de uma password, por si só, é um enorme factor de risco, e vai começar a activar a autenticação 2-factor para os utilizadores em breve.

Depois de ter passado os últimos anos a alertar para o perigo que é a utilização dos SMS para envio de códigos de autenticação, a Google prepara-se para tirar o medo a todos os que ainda não activaram a autenticação 2-factor (2FA) nas suas contas Google. A password tornou-se num dos elementos imprescindíveis da vida digital actual, sendo necessária para aceder a praticamente todo e qualquer serviço: email, bancos, redes sociais, etc. etc. No entanto, é algo que, facilmente deixa o utilizador em risco, no caso de ser roubada ou simplesmente adivinhada (para não falar de todos os programas de "brute force" que vão testando todas as combinações possíveis até a descobrirem.

A Google quer tornar a utilização de passwords numa coisa do passado, e por agora avança com a promoção da autenticação 2-factor, que diz que começará a activar para todos os utilizadores em breve.

Normalmente, o processo de autenticação 2-factor funciona da seguinte forma: o utilizador faz o login habitual no serviço, com o seu nome de utilizador e password, mas em vez de ter acesso imediato ao serviço, tem que introduzir um código adicional que varia a cada poucos segundos, normalmente gerado por uma app como o Google Authenticator, ou outras (existe um standard para a criação destes códigos, permitindo que uma única app possa gerar códigos para dezenas de serviços que usem 2FA). Mas no caso da Google o sistema torna-se ainda mais simples, dispensando a necessidade de introduzir códigos manualmente.
No sistem da Google, depois de se introduzir o nome e password, surge automaticamente uma notificação no smartphone a perguntar se somos mesmo nós que estamos a tentar fazer login na nossa conta, incluindo informação sobre o computador e a localização. Se for um login válido, bastará dizer que aceitamos, e pronto, já fica tudo arrumado, sem necessidade de códigos temporários manuais.


Muitos serviços já obrigam à utilização de métodos de autenticação 2FA e, apesar do "incómodo" adicional, é algo que deveria começar a ser prática comum para todos. Levado ao extremo, este sistema até permite que passwords básicas e repetidas ofereçam alguma segurança (não que o devam fazer) pois será praticamente impossível um atacante conseguir entrar sem o tal código ou confirmação adicional.

No entanto, há também que contemplar a possibilidade do smartphone que se utiliza para a verificação poder avariar-se ou ser roubado. Para quem puder, a solução mais fácil passa por ter um equipamento alternativo que também permita fazer essa autenticação (como um segundo smartphone, velho, ou um tablet) - caso contrário, a protecção contra hackers pode tornar-se numa protecção contra o dono legítimo (quando se activa o sistema 2FA, normalmente são dados códigos de emergência, de uso único, para contemplar essa eventualidade, permitindo entrar na conta no caso de se perder o dispositivo adicional de autenticação).

7 comentários:

  1. É preciso mesmo ter muito cuidado com isso do Google Authenticator, pois não há forma de fazer backup. Caso o smartphone avarie ou for roubado, fica-se impedido de entrar nas contas todas. O que se deve fazer é guardar print screens de todos os QR codes gerados pelos serviços e tê-los offline, no computador e até impressos em papel. Caso suceda algo ao smartphone é só adicionar novamente. No caso de ser comprar outro smartphone é possível migrar pois o Google Authenticator tem essa funcionalidade. A grande chatice desse sistema é que caso não tenhamos o smartphone connosco ou se ficar sem bateria, ficamos impedidos de aceder aos mais variados serviços

    ResponderEliminar
    Respostas
    1. Uso a app Authenticator da LastPass precisamente para poder fazer os backups que não consigo com a app do google ou mesmo a da microsoft. Tive a mesma questão na altura e esta foi a melhor alternativa que encontrei, é provável que haja melhores soluções.

      Eliminar
    2. Viva. Essa informação, David, é incorrecta. Eu uso o google authenticator há uns anos para crypto trading e quando esse 2FA é gerado/adicionado, há uma combinação de caracteres (key) que é fornecida. Através dela é possível recuperar esse acesso, como já fiz anteriormente para diversas Exchanges.

      Eliminar
  2. Essa do uso de um telemóvel velho, para uso alternativo numa situação de emergência (roubo ou perda do tlmv principal) é uma boa dica, sem dúvida. Só tenho uma dúvida. As APP's geradoras de códigos (ex. Google Authenticator) mesmo num 2º telemóvel, gera os mesmos códigos que que o tlmv "original"!! Não falas nessa situação, mas sim utilizar num 2º tlmv os chamados "códigos de emergência" que não precisam da APP, certo?? E já agora, também aderi ao 2FA em vários sites, mas no site da google, quando activei essa camada de segurança, foicom intuito de usar a tal "Google Autenticator", no entanto, e como dizes neste artigo, a notificação "tipo push" aparece-me para validar a autenticação Google quando pensava eu que teria de ir ao Google Authenticator que foi o que activei!! Faz-me alguma confusão isto!!!

    ResponderEliminar
    Respostas
    1. Se leres os mesmos códigos QR em ambos os smartphones, os códigos gerados em ambos serão válidos. Não é qualquer pessoa que vai poder dar ao luxo de ter 1 smartphone para isso.

      Eliminar
    2. Sim, adicionas a autenticação aos dois (ou transferes de um para o outro - coisa que o Google Authenticator também já permite fazer).

      Eliminar
    3. Eu cá uso o Authy, tanto no smartphone e no pc. Permite a sincronização entre dispositivos e adicionar novos dispositivos, cuja funcionalidade está só activo quando preciso.

      Eliminar

[pub]