O Google anunciou na segunda-feira que está simplificando o processo de ativar a autenticação em duas etapas (2FA) para usuários com contas pessoais e do Workspace.
Também chamado de Verificação em 2 Etapas (2SV), o objetivo é adicionar uma camada extra de segurança às contas dos usuários para evitar ataques de sequestro no caso de roubo de senhas.
A nova alteração envolve adicionar um segundo método passo, como um aplicativo autenticador ou uma chave de segurança de hardware, antes de ativar o 2FA, eliminando assim a necessidade de usar a autenticação baseada em SMS, menos segura.
“Isso é particularmente útil para organizações que usam o Google Authenticator (ou outros aplicativos de senha única baseados em tempo equivalentes)”, disse a empresa. “Anteriormente, os usuários tinham que ativar o 2SV com um número de telefone antes de poderem adicionar o Authenticator.”
Os usuários com chaves de segurança de hardware têm duas opções para adicioná-las às suas contas, incluindo registrar uma credencial FIDO1 na chave de hardware ou atribuir uma senha (ou seja, uma credencial FIDO2) a uma chave.
O Google observa que as contas do Workspace ainda podem ser solicitadas a inserir suas senhas junto com sua senha se a política do administrador para “Permitir que os usuários pulem as senhas na entrada usando senhas” estiver desativada.
Em outra atualização importante, os usuários que optarem por desativar o 2FA nas configurações de sua conta não terão mais seus segundos passos inscritos removidos automaticamente.
“Quando um administrador desativa o 2SV para um usuário no console de administração ou via Admin SDK, os segundos fatores serão removidos como antes, para garantir que os fluxos de trabalho de desativação de usuário permaneçam intactos,” disse o Google.
O desenvolvimento ocorre a medida que a gigante das buscas disse que mais de 400 milhões de contas do Google começaram a usar senhas ao longo do último ano para autenticação sem senha.
Métodos de autenticação modernos e padrões como FIDO2 são projetados para resistir a ataques de phishing e sequestro de sessão, utilizando chaves criptográficas geradas por e vinculadas a smartphones e computadores para verificar os usuários, em oposição a uma senha que pode ser facilmente roubada por meio de coleta de credenciais ou malware de roubo.
No entanto, uma nova pesquisa da Silverfort descobriu que um ator de ameaças pode contornar o FIDO2, realizando um ataque de adversário no meio (AitM) que pode sequestrar sessões de usuário em aplicativos que utilizam soluções de logon único (SSO) como Microsoft Entra ID, PingFederate e Yubico.
“Um ataque MitM bem-sucedido expõe todo o conteúdo da solicitação e resposta do processo de autenticação”, disse o pesquisador de segurança Dor Segal.
“Quando termina, o adversário pode adquirir o cookie de estado gerado e sequestrar a sessão da vítima. Em termos simples, não há validação pela aplicação após o fim da autenticação.”
O ataque é possível porque a maioria das aplicações não protegem os tokens de sessão criados após a autenticação ser bem-sucedida, permitindo assim que um ator malicioso obtenha acesso não autorizado.
Além disso, nenhuma validação é feita no dispositivo que solicitou a sessão, o que significa que qualquer dispositivo pode utilizar o cookie até que ele expire. Isso torna possível burlar a etapa de autenticação adquirindo o cookie por meio de um ataque AitM.
Para garantir que a sessão autenticada seja utilizada exclusivamente pelo cliente, é aconselhável adotar uma técnica conhecida como Token Binding, que permite que aplicativos e serviços vinculem criptograficamente seus tokens de segurança à camada de protocolo de Segurança de Camada de Transporte (TLS).
Embora o Token Binding esteja atualmente limitado ao Microsoft Edge, o Google anunciou no mês passado um novo recurso no Chrome chamado Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) para ajudar a proteger os usuários contra roubo de cookies de sessão e ataques de sequestro.
Se você achou este artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que publicamos.
