O Google está tornando mais fácil para as pessoas protegerem suas contas com autenticação multifatorial forte, adicionando a opção de armazenar chaves de criptografia seguras na forma de chaves de acesso em vez de dispositivos de token físico.
Programa Proteção Avançada do Google, pé Em 2017, exige a forma mais forte de autenticação multifator (MFA). Embora muitas formas de autenticação multifator dependam de códigos únicos enviados por SMS ou e-mail ou gerados por aplicativos de autenticação, as contas inscritas na Proteção Avançada exigem autenticação multifator com base em chaves de criptografia armazenadas em um dispositivo físico seguro. Ao contrário dos códigos de acesso único, as chaves de segurança armazenadas em dispositivos físicos são imunes ao phishing de credenciais e não podem ser copiadas ou detectadas.
Aplicação democrática
O Programa de Proteção Avançada (APP), abreviação de Programa de Proteção Avançada, exige que a chave seja acompanhada de uma senha sempre que um usuário fizer login em uma conta em um novo dispositivo. As proteções evitam os tipos de tomada de controle de contas que permitiram que hackers apoiados pelo Kremlin acessassem as contas do Gmail de autoridades democratas em 2016 e depois vazassem e-mails roubados para interferir nas eleições presidenciais daquele ano.
Até agora, o Google exigia que as pessoas tivessem duas chaves físicas de segurança para se registrar no aplicativo. Agora, a empresa permite que as pessoas usem duas chaves de acesso ou uma chave de acesso e um código físico. Quem busca mais segurança pode se cadastrar usando quantas chaves quiser.
“Estamos trabalhando para expandir a vaga para que as pessoas tenham mais opções de como se inscrever neste programa”, disse Shuvo Chatterjee, líder do projeto APP, a Ars. Ele disse que essa mudança vem em resposta ao feedback que o Google recebeu de alguns usuários que não conseguiram comprar chaves físicas ou moravam ou trabalhavam em áreas onde as chaves não estavam disponíveis.
Como sempre, os usuários ainda são obrigados a ter duas chaves de registro para evitar o bloqueio de contas se uma das chaves for perdida ou danificada. Embora os banimentos sejam sempre um problema, eles podem ser muito piores para os usuários do aplicativo porque o processo de recuperação é mais rigoroso e demora muito mais do que para contas não registradas no programa.
Passkeys é a criação da FIDO Alliance, um grupo intersetorial composto por centenas de empresas. Eles são armazenados localmente em um dispositivo e também podem ser armazenados no mesmo tipo de token de dispositivo que armazena chaves MFA. As chaves de acesso não podem ser extraídas do dispositivo e exigem um PIN, uma impressão digital ou digitalização facial. As chaves de acesso fornecem dois fatores para autenticação: algo que o usuário sabe — a senha base usada quando a chave de acesso é criada pela primeira vez — e algo que o usuário possui — na forma do dispositivo que armazena a chave de acesso.
É claro que os requisitos relaxados não vão além disso, já que os usuários ainda precisam ter dois dispositivos. Mas ao expandir os tipos de dispositivos necessários, os aplicativos tornaram-se mais acessíveis, já que muitas pessoas já possuem um telefone e um computador, segundo Chatterjee.
“Se você estiver em um lugar onde não consegue obter chaves de segurança, será mais conveniente. Este é um passo para democratizar a quantidade de acesso à informação”, explicou. [users] Vá para o mais alto nível de segurança que o Google tem a oferecer.
Apesar do maior escrutínio envolvido no processo de recuperação de contas APP, o Google está renovando sua recomendação para que os usuários forneçam um número de telefone e endereço de e-mail como backup.
“O máximo que você pode fazer é manter várias coisas em arquivo, então, se você perder sua chave de segurança ou ela falhar, você terá uma maneira de recuperar sua conta”, disse Chatterjee. Ele não forneceu detalhes “secretos” sobre como o processo funciona, mas disse que envolve “toneladas de sinais que analisamos para descobrir o que realmente está acontecendo”.
“Mesmo se você tiver um telefone de recuperação, o próprio telefone de recuperação não lhe dará acesso à sua conta”, disse ele. “Portanto, se o seu cartão SIM for trocado, isso não significa que alguém possa acessar sua conta. É uma combinação de diferentes fatores. É a soma desses fatores que o ajudará no caminho da recuperação.”
Os usuários do Google podem se registrar no aplicativo visitando esse link.