O Google simplifica a configuração da autenticação de dois fatores (é mais importante do que nunca)
O Google anunciou na segunda-feira que está simplificando o processo de ativação da autenticação de dois fatores (2FA) para usuários com contas pessoais e do Workspace.
Também chamada de verificação em duas etapas (2SV), visa adicionar uma camada additional de segurança às contas dos usuários para evitar ataques de controle caso as senhas sejam roubadas.
A nova mudança envolve a adição de um método de segunda etapa, como um aplicativo autenticador ou uma chave de segurança de {hardware}, antes de ativar o 2FA, eliminando assim a necessidade de usar a autenticação menos segura baseada em SMS.
“Isso é particularmente útil para organizações que usam o Google Authenticator (ou outros aplicativos equivalentes de senha única baseada em tempo (TOTP))”, disse a empresa. “Anteriormente, os usuários tinham que ativar o 2SV com um número de telefone antes de poder adicionar o Authenticator.”
Os usuários com chaves de segurança de {hardware} têm duas opções para adicioná-las às suas contas, inclusive registrando uma credencial FIDO1 na chave de {hardware} ou atribuindo uma chave de acesso (ou seja, uma credencial FIDO2) a uma.
O Google observa que as contas do Workspace ainda podem ser obrigadas a inserir suas senhas junto com a chave de acesso se a política de administrador para “Permitir que os usuários pulem senhas ao fazer login usando chaves de acesso” estiver desativada.
Em outra atualização digna de nota, os usuários que optarem por desativar o 2FA nas configurações de sua conta não terão mais suas segundas etapas inscritas removidas automaticamente.
“Quando um administrador desativa o 2SV para um usuário no Admin Console ou por meio do Admin SDK, os segundos fatores serão removidos como antes, para garantir que os fluxos de trabalho de desligamento do usuário não sejam afetados”, disse o Google.
O desenvolvimento ocorre no momento em que o gigante das buscas disse que mais de 400 milhões de contas do Google começaram a usar chaves de acesso no ano passado para autenticação sem senha.
Métodos e padrões de autenticação modernos como FIDO2 são projetados para resistir a ataques de phishing e sequestro de sessão, aproveitando chaves criptográficas geradas e vinculadas a smartphones e computadores para verificar usuários, em oposição a uma senha que pode ser facilmente roubada por meio de coleta de credenciais ou malware ladrão.
No entanto, uma nova pesquisa da Silverfort descobriu que um agente de ameaça poderia contornar o FIDO2 realizando um ataque adversário no meio (AitM) que pode sequestrar sessões de usuários em aplicativos que usam soluções de logon único (SSO), como o Microsoft Entra. ID, PingFederate e Yubico.
“Um ataque MitM bem-sucedido expõe todo o conteúdo de solicitação e resposta do processo de autenticação”, disse o pesquisador de segurança Dor Segal.
“Quando termina, o adversário pode adquirir o cookie de estado gerado e sequestrar a sessão da vítima. Simplificando, não há validação por parte do aplicativo após o término da autenticação.”
O ataque é possível devido ao fato de que a maioria dos aplicativos não protege os tokens de sessão criados após a autenticação ser bem-sucedida, permitindo assim que um malfeitor obtenha acesso não autorizado.
Além disso, não é realizada nenhuma validação no dispositivo que solicitou a sessão, ou seja, qualquer dispositivo pode utilizar o cookie até que este expire. Isto permite contornar a etapa de autenticação adquirindo o cookie por meio de um ataque AitM.
Para garantir que a sessão autenticada seja utilizada exclusivamente pelo cliente, é aconselhável adotar uma técnica conhecida como token binding, que permite que aplicações e serviços vinculem criptograficamente seus tokens de segurança à camada de protocolo Transport Layer Safety (TLS).
Embora a vinculação de token esteja atualmente limitada ao Microsoft Edge, o Google anunciou no mês passado um novo recurso no Chrome chamado Gadget Certain Session Credentials (DBSC) para ajudar a proteger os usuários contra roubo de cookies de sessão e ataques de sequestro.
