Total Security - totalsecurity.com.br
Falha no Google expõe fraqueza na autenticação de dois fatores
Uma falha crítica recentemente descoberta no processo de autenticação de dois fatores para acessar os muitos serviços do Google reflete os riscos que esse mecanismo apresenta quando amplamente implantado. A Duo Security reportou a vulnerabilidade nesta semana, depois de notificar a gigante e dar tempo para que ela fosse corrigida.
O processo de autenticação de dois fatores permite o acesso de determinados dispositivos às contas de usuários do Google, para que não seja necessário logar com uma senha todas as vezes que eles queiram acessar os serviços online da companhia. Por conta do duplo processo (que inclui senha e dispositivo) ser amplamente utilizado, o Google teve que fazer algumas compensações a fim de garantir conforto ao usuário.
Essas compensações eram esperadas, dada a forma como o Google está gradualmente transformando o seu ambiente de uma coleção de aplicativos individuais (cada um com seu próprio processo de autenticação), a um sistema único que funciona em todos os seus serviços, disse o co-fundador e diretor de tecnologia da Duo Security, Jon Oberheide. "Implantar uma única infraestrutura, uma plataforma de login único, não é uma tarefa fácil", disse.
Senhas de acesso
Um compromisso que o Google assumiu foi a criação de uma "senhas específicas para aplicações", ou ASPs, disse a Duo Security. A empresa foi forçada a introduzir ASPs porque nem todas as aplicações que têm acesso à informação de contas de um usuário suportam o seu esquema de autenticação de dois fatores.
Alguns exemplos dessas aplicações incluem clientes de e-mail como o Outlook, Mail (da Apple) e o Thunderbird, clientes de chat e aplicativos de calendário. Para obter esses aplicativos, a empresa criou uma página em que os usuários poderiam ir para gerar um ASP que autenticaria a aplicação e permitiria que ela continuasse a acessar os dados do usuário. As pessoas tinham que copiar e colar a senha gerada pelo Google em seus aplicativos.
Infelizmente para os usuários, o ASP também poderia ser usado para acessar quase todas as propriedades web do Google, incluindo as configurações de conta - onde algumas modificações dariam ao cracker controle completo, disse o engenheiro de segurança da Duo Security, Adam Goodman, no blog da empresa.
O processo de autenticação de dois fatores permite o acesso de determinados dispositivos às contas de usuários do Google, para que não seja necessário logar com uma senha todas as vezes que eles queiram acessar os serviços online da companhia. Por conta do duplo processo (que inclui senha e dispositivo) ser amplamente utilizado, o Google teve que fazer algumas compensações a fim de garantir conforto ao usuário.
Essas compensações eram esperadas, dada a forma como o Google está gradualmente transformando o seu ambiente de uma coleção de aplicativos individuais (cada um com seu próprio processo de autenticação), a um sistema único que funciona em todos os seus serviços, disse o co-fundador e diretor de tecnologia da Duo Security, Jon Oberheide. "Implantar uma única infraestrutura, uma plataforma de login único, não é uma tarefa fácil", disse.
Senhas de acesso
Um compromisso que o Google assumiu foi a criação de uma "senhas específicas para aplicações", ou ASPs, disse a Duo Security. A empresa foi forçada a introduzir ASPs porque nem todas as aplicações que têm acesso à informação de contas de um usuário suportam o seu esquema de autenticação de dois fatores.
Alguns exemplos dessas aplicações incluem clientes de e-mail como o Outlook, Mail (da Apple) e o Thunderbird, clientes de chat e aplicativos de calendário. Para obter esses aplicativos, a empresa criou uma página em que os usuários poderiam ir para gerar um ASP que autenticaria a aplicação e permitiria que ela continuasse a acessar os dados do usuário. As pessoas tinham que copiar e colar a senha gerada pelo Google em seus aplicativos.
Infelizmente para os usuários, o ASP também poderia ser usado para acessar quase todas as propriedades web do Google, incluindo as configurações de conta - onde algumas modificações dariam ao cracker controle completo, disse o engenheiro de segurança da Duo Security, Adam Goodman, no blog da empresa.
Fonte:
IDGNOW
URL Fonte: https://totalsecurity.com.br/noticia/2850/visualizar/
Comentários