O Google anunciou nesta sexta-feira que está simplificando o processo de ativação da autenticação de dois fatores (2FA) para usuários com contas pessoais e do Workspace. Também chamado de Verificação em duas etapas (2SV), o objetivo é adicionar uma camada extra de segurança às contas dos usuários para evitar ataques de takeover no caso de roubo de senhas. A mudança envolve adicionar um segundo método, como um aplicativo de autenticação ou uma chave de segurança física, antes de ativar o 2FA, eliminando assim a necessidade de usar autenticação baseada em SMS, que é menos segura.Usuários com chaves de segurança física têm duas opções para adicioná-las às suas contas, incluindo registrando um credencial FIDO1 na chave de hardware ou atribuindo uma senha (ou seja, um credencial FIDO2) a ela. A empresa disse que, anteriormente, os usuários precisavam habilitar o 2SV com um número de telefone antes de poderem adicionar o Autenticador. Contas do Workspace podem ainda ser obrigadas a inserir suas senhas junto com a senha do passkey se a política do administrador para “Permitir que os usuários pulem as senhas ao fazer login usando passkeys” estiver desativada. Em outra atualização importante, os usuários que optarem por desligar o 2FA nas configurações de suas contas não terão mais seus segundos passos automaticamente removidos. A empresa disse que, ao desativar o 2SV para um usuário no console de administrador ou por meio do Admin SDK, os segundos fatores serão removidos como antes, para garantir que os fluxos de trabalho de desativação de usuários permaneçam inalterados. A novidade surge quando a gigante das buscas disse que mais de 400 milhões de contas do Google começaram a usar passkeys ao longo do último ano para autenticação sem senha. Métodos de autenticação modernos e padrões como FIDO2 são projetados para resistir a ataques de phishing e sequestros de sessão, utilizando chaves criptográficas geradas e vinculadas a smartphones e computadores para verificar usuários, em vez de uma senha que pode ser facilmente roubada por meio de captura de credenciais ou malware. No entanto, uma nova pesquisa da Silverfort descobriu que um ator ameaças poderia contornar o FIDO2 realizando um ataque de adversário no meio que pode sequestrar sessões de usuário em aplicativos que usam soluções de logon único (SSO) como Microsoft Entra ID, PingFederate e Yubico. “Um ataque MitM bem-sucedido expõe todo o conteúdo da solicitação e da resposta do processo de autenticação”, disse o pesquisador de segurança Dor Segal. “Quando termina, o adversário pode adquirir o cookie de estado gerado e sequestrar a sessão da vítima. Em termos simples, não há validação pela aplicação após o término da autenticação.” O ataque é possível porque a maioria dos aplicativos não protegem os tokens de sessão criados após a autenticação ser bem-sucedida, permitindo que um ator mal-intencionado ganhe acesso não autorizado. Além disso, não há validação do dispositivo que solicitou a sessão, o que significa que qualquer dispositivo pode usar o cookie até que expire. Isso torna possível contornar a etapa de autenticação adquirindo o cookie por meio de um ataque MitM. Para garantir que a sessão autenticada seja usada apenas pelo cliente, é aconselhável adotar uma técnica conhecida como token binding, que permite que aplicativos e serviços vinculem criptograficamente seus tokens de segurança à camada de protocolo de Segurança de Transporte (TLS). Embora o token binding esteja atualmente limitado ao Microsoft Edge, o Google anunciou no mês passado um novo recurso no Chrome chamado Credenciais de Sessão Vinculadas a Dispositivos (DBSC) para ajudar a proteger os usuários contra roubo de cookies de sessão e ataques de sequestro.