Semelhante ao token do Internet Banking, código pode ser criado no smartphone ou recebido via SMS; adesão ao procedimento é opcional.
O Google está expandindo para todas as contas de seus serviços a opção de efetuar login em dois passos, que inclui uma verificação adicional além da clássica dupla usuário-senha.
Essa media de segurança – implementada para clientes do Google Apps há alguns meses, e que é ‘opt-in’ (depende de adesão voluntária) – protege a conta Google de ser invadida ou comprometida.
Um porta-voz do Google disse que a empresa “está animada ao implementar o novo método de verificação, o sistema de autenticação em dois passos, nas contas Google, tornando-a disponível para todos os usuários”, completando também que a empresa está apresentando outros recursos adicionais para fazer os controles de segurança muito mais disponíveis e fáceis de usar.
A autenticação é o processo que verifica se o usuário é dono legítimo de determinada conta, antes de acessá-la. Isso depende de alguma informação que a pessoa saiba (uma senha), um dispositivo (como um celular) ou, o que é mais avançado, de uma parte do corpo, como uma impressão digital.
Adivinhação fácil
O problema com o modelo padrão de autenticação é que ele se baseia em algo que o usuário saiba – e, geralmente, é algo fácil de ser adivinhado, quebrado ou comprometido.
Enquanto um nome de usuário pode parecer com algo próximo da identidade da pessoa, são somente algumas palavras que geralmente não são secretas. Sendo assim, sobra só a senha.
Incidentes envolvendo quebras de segurança – como o que aconteceu recentemente com o CEO da HBGary Federal, Aaron Barr – ilustram que muitos usuários utilizam senhas fracas que são triviais suficientes para um cracker descobrir.
Outro ponto é o fato de utilizar o mesmo nome de usuário e senha para proteger várias contas, tornando a senha a chave de todas as portas do castelo. Uma vez que uma conta é comprometida, o autor do ataque pode modificar os detalhes da conta como o endereço de e-mail alternativo, número de telefone ou outras informações, dificultando mais ainda a recuperação da conta pelo dono original.
Aí entra o processo de dupla verificação do Google, no qual é preciso inserir um código que é enviado via SMS para o celular do usuário, além, claro, da senha. Como alternativa, pode-se utilizar, para geração do código, apps desenvolvidos para smartphones iPhone, BlackBerry e Android.
Um post no blog do Google anunciou a nova ferramenta, e explicou que trata-se de “um passo a mais; contudo, esse melhora significativamente a segurança de sua conta Google porque requer uma poderosa combinação dos dados já conhecidos – nome de usuário e senha – além de algo que somente você terá – seu celular. O cracker precisaria então acessar ambos para ter acesso à conta.
O recurso será disponibilizado para todas as contas Google nos próximos dias. A configuração deve levar em torno de 15 minutos, de acordo com a empresa. O Google tornou o processo de setup mais acessível ao usuário, e também expandiu a disponibilidade para mais países.
Site: IDG Now!
Data: 11/02/2011
Hora: 14h40
Seção: Segurança
Autor: Tony Bradley
Link: http://idgnow.uol.com.br/seguranca/2011/02/11/google-cria-codigo-de-verificacao-para-aumentar-seguranca-no-login/