O aplicativo Authenticator gratuito do Google tem sido uma das melhores maneiras de armazenar os códigos cronometrados necessários para os sistemas de autenticação de dois fatores (2FA) usados por muitos serviços online. No entanto, sempre sofreu uma limitação irritante: esses códigos eram armazenados apenas em qualquer dispositivo que você usasse.
Embora seja difícil argumentar contra a segurança de tal abordagem, tornou-se um aborrecimento para as pessoas que queriam acessar seus códigos de dois fatores de vários dispositivos, como um iPhone e um iPad. Também foi um incômodo ao atualizar para um iPhone mais recente, pois os códigos normalmente não são restaurados de um backup para um novo telefone devido à forma como são armazenados no aplicativo.
Não é preciso dizer que foi uma lufada de ar fresco quando o gerente de produto do Google, Christiaan Brand compartilhou a notícia esta semana de que o Google Authenticator pode fazer backup e sincronizar códigos únicos usando sua Conta do Google. Isso recebe um merecido “finalmente” quando você considera que o aplicativo foi lançado em 2010 como um dos primeiros aplicativos 2FA do mercado.
No entanto, essa empolgação durou pouco depois que os pesquisadores de segurança examinaram mais de perto o que o Google estava fazendo e descobriram que faltam proteções importantes para armazenar dados tão confidenciais quanto os códigos 2FA das pessoas.
Em um longo tweet (sim, Twitter agora permite que membros pagantes escrevam ensaios), os desenvolvedores e analistas de segurança em Mysk chamou a atenção para a falta de criptografia de ponta a ponta (E2E) no novo sistema e aconselhou os usuários do Google Authenticator a não habilitá-la.
O Google acaba de atualizar seu aplicativo 2FA Authenticator e adicionou um recurso muito necessário: a capacidade de sincronizar segredos entre dispositivos.
TL;DR: Não desligue ativado.
A nova atualização permite que os usuários façam login com sua Conta do Google e sincronizem segredos 2FA em seus dispositivos iOS e Android.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 26 de abril de 2023
Analisamos o tráfego de rede quando o aplicativo sincroniza os segredos e descobrimos que o tráfego não é criptografado de ponta a ponta. Conforme mostrado nas capturas de tela, isso significa que o Google pode ver os segredos, provavelmente mesmo enquanto estiverem armazenados em seus servidores. Não há opção para adicionar uma senha para proteger os segredos, para torná-los acessíveis apenas pelo usuário. Mysk
Embora você possa pensar que não há mal em expor códigos 2FA que mudam a cada 30 segundos , as informações do Google Authenticator armazenadas sem criptografia em sua Conta do Google também contêm as chaves secretas, ou”sementes”, usadas para gerar esses códigos. Isso significa que qualquer pessoa com acesso a essas informações pode gerar os mesmos códigos 2FA em outro dispositivo, levando a um possível comprometimento de sua segurança.
Claro, eles também teriam que saber sua senha, mas o objetivo do 2FA é proteger suas contas no caso de sua senha ser interceptada ou vazar por meio de uma violação de dados.
Por outro lado, os segredos 2FA não são incluídos nos dados exportados de sua Conta do Google, portanto, eles são seguros a esse respeito, mas ainda existe o risco de que possam ser expostos de alguma outra forma se um hacker obtivesse acesso à sua Conta do Google.
Além disso, como observa a equipe da Mysk, há também um aspecto de privacidade nisso: “Como o Google pode ver todos esses dados, ele sabe quais serviços online você usa e pode usar essas informações para anúncios personalizados.” As práticas de mineração de dados do Google são bem conhecidas, então não se pode presumir que não usaria esses dados para traçar o perfil de seus usuários.
Felizmente, o novo recurso de sincronização é totalmente opcional; você ainda pode usar o aplicativo como sempre fez, armazenando seus segredos apenas no seu dispositivo. Após o relatório de preocupações de segurança, a marca Christiaan do Google explicou por que a empresa optou por omitir a criptografia de ponta a ponta, observando que isso vem “com o custo de permitir que os usuários fiquem bloqueados de seus próprios dados sem recuperação”. Ele acrescenta que o E2E está chegando para o Google Authenticator “no futuro”, momento em que você presumivelmente poderá usá-lo com segurança. É melhor evitá-lo até que isso aconteça ou considere um aplicativo alternativo para lidar com seus códigos 2FA.
Abandone o Google Authenticator e use o iCloud Keychain
Como o Google naturalmente oferece seu próprio aplicativo Google Authenticator, muitos usuários do Gmail passaram a acreditar que esse é o aplicativo que eles devem usar para acessar sua Conta do Google e outros serviços que usam 2FA.
No entanto, nada poderia estar mais longe da verdade. Claro, o Google Authenticator lida bem com isso e já existe há tanto tempo que se tornou um padrão de fato para credenciais 2FA. No entanto, não é o único jogo na cidade de longe.
Na verdade, se você estiver usando o iOS 15 e/ou macOS Monterey ou posterior, pode abandonar totalmente o Google Authenticator e mudar para o iCloud Keychain, que inclui criptografia robusta de ponta a ponta desde o início no iOS 7 e OS X Mavericks em 2013.
Embora o iCloud Keychain tenha sido capaz de armazenar senhas com segurança por anos, a capacidade de lidar com códigos de autenticação de dois fatores surgiu apenas no iOS 15 e nos outros iPadOS que o acompanham e versões do macOS. No entanto, isso agora o torna um substituto completo para o Google Authenticator, especialmente porque ele já sincroniza todas essas informações em todos os iPhone, iPad e Mac conectados à sua conta do iCloud e pode preencher automaticamente esses códigos para você no Safari. A Apple também oferece um aplicativo do Windows para isso.
Gerenciadores de senhas de terceiros, como o 1Password, também suportam o armazenamento de códigos 2FA há muito tempo, com os mesmos recursos de preenchimento automático. aqueles.
No entanto, há um argumento válido de que armazenar suas senhas e códigos 2FA no mesmo aplicativo mantém todos os seus ovos em uma única cesta. Uma violação de segurança desse aplicativo daria aos hackers todas as peças necessárias para comprometer suas contas. Se isso o preocupa, há uma variedade de aplicativos 2FA independentes, como Authy, Autenticação OTP e TOTP que fazem o trabalho. Alguns até oferecem aplicativos Apple Watch para obter rapidamente seus códigos 2FA do seu pulso. Isso é algo que o Google Authenticator não fará por você.
Lembre-se de que você não está realmente melhorando a segurança usando um aplicativo 2FA separado se ele estiver instalado no mesmo iPhone que seu gerenciador de senhas, a menos que você o proteja com uma senha diferente e suporte a criptografia local de seus dados OTP. Caso contrário, qualquer pessoa que colocar as mãos no seu iPhone e puder desbloqueá-lo poderá pescar seus códigos 2FA em um aplicativo separado com ainda mais facilidade do que em um gerenciador de senhas mais seguro como o 1Password.
