Na segunda-feira(06), o Google anunciou que está simplificando o processo de ativação da autenticação de dois fatores (2FA) para usuários com contas pessoais e do Workspace.
Também chamado de Verificação em Duas Etapas (2SV), o objetivo é adicionar uma camada extra de segurança às contas dos usuários para prevenir ataques de tomada de controle, caso as senhas sejam roubadas.
A nova mudança implica na adição de um segundo método de etapa, como um aplicativo de autenticação ou uma chave de segurança de hardware, antes de ativar o 2FA, eliminando assim a necessidade de usar a autenticação baseada em SMS, que é menos segura.
"Isso é particularmente útil para organizações que usam o Google Authenticator (ou outros aplicativos equivalentes de senha de uso único baseada em tempo (TOTP))", disse a empresa.
Anteriormente, os usuários tinham que ativar o 2SV com um número de telefone antes de poder adicionar o Authenticator.
Usuários com chaves de segurança de hardware têm duas opções para adicioná-las às suas contas, incluindo o registro de uma credencial FIDO1 na chave de segurança ou atribuindo uma passkey (ou seja, uma credencial FIDO2) a uma.
O Google observa que contas do Workspace ainda podem ser obrigadas a inserir suas senhas junto com sua passkey, se a política de administração para "Permitir que usuários pulem senhas no login usando passkeys" estiver desativada.
Em outra atualização notável, usuários que optarem por desativar o 2FA de suas configurações de conta agora não terão mais suas segundas etapas inscritas automaticamente removidas.
"Quando um administrador desativa o 2SV para um usuário a partir do console de Administração ou via Admin SDK, os segundos fatores serão removidos como antes, para garantir que os fluxos de trabalho de desligamento de usuários permaneçam inalterados", disse o Google.
O desenvolvimento vem à medida que o gigante das buscas disse que mais de 400 milhões de contas do Google começaram a usar passkeys no ano passado para autenticação sem senha.
Métodos modernos de autenticação e padrões como FIDO2 são projetados para resistir a ataques de phishing e sequestro de sessão, aproveitando chaves criptográficas geradas e vinculadas a smartphones e computadores para verificar usuários em oposição a uma senha que pode ser facilmente roubada via coleta de credenciais ou malware de roubo de informações.
No entanto, uma nova pesquisa da Silverfort descobriu que um ator de ameaça poderia contornar o FIDO2 organizando um ataque adversário-no-meio (AitM) que pode sequestrar sessões de usuários em aplicações que usam soluções de single sign-on (SSO) como Microsoft Entra ID, PingFederate, e Yubico.
"Um ataque MitM bem-sucedido expõe todo o conteúdo de solicitação e resposta do processo de autenticação", disse o pesquisador de segurança Dor Segal.
Quando termina, o adversário pode adquirir o cookie de estado gerado e sequestrar a sessão da vítima.
Simplificando, não há validação por parte da aplicação após o término da autenticação.
O ataque é possibilitado pelo fato de que a maioria das aplicações não protege os tokens de sessão criados após o sucesso da autenticação, permitindo assim que um ator malicioso ganhe acesso não autorizado.
Além disso, não há validação realizada no dispositivo que solicitou a sessão, significando que qualquer dispositivo pode usar o cookie até que expire.
Isso torna possível contornar a etapa de autenticação adquirindo o cookie por meio de um ataque AitM.
Para garantir que a sessão autenticada seja usada exclusivamente pelo cliente, é aconselhável adotar uma técnica conhecida como vinculação de token, que permite que aplicações e serviços vinculem criptograficamente seus tokens de segurança à camada de protocolo da Segurança da Camada de Transporte (TLS).
Embora a vinculação de token seja limitada ao Microsoft Edge, o Google anunciou no mês passado um novo recurso no Chrome chamado Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) para ajudar a proteger os usuários contra roubos de cookie de sessão e ataques de sequestro de sessão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...