Autenticação Forte @ Google Apps

A Google acaba de reforçar o mecanismo de autenticação de utilizadores da solução Google Apps, permitindo, às organizações que o desejarem, e como complemento à password definida por cada um dos utilizadores, acrescentar uma One-Time Password (OTP) numérica, no momento em que apresentam as suas credenciais e entram na aplicação. Esta OTP pode ser (i) gerada numa aplicação específica para telemóveis (Android ou Blackberry, à data), (ii) enviada por SMS ou (iii) transmitida em voz para o telemóvel de cada utilizador.

Na prática, quando os utilizadores invocam um serviço Google Apps, por exemplo, quando entram no serviço de correio electrónico via web, o serviço solicita-lhes a introdução do seu nome de utilizador e password, e, após a validação destas credenciais, é-lhes solicitada, adicionalmente, a introdução de uma OTP, gerada através de um dos três canais que estão disponíveis.

Este mecanismo reforça significativamente a segurança destes serviços porque, agora, para além de ser necessário conhecer (leia-se, capturar ; ) ...) a password dos utilizadores, é necessário ter acesso ao telemóvel que vai gerar ou receber, eventualmente, o código OTP que confirma a legitimidade do acesso a estas aplicações.

Como nem só da web vivem as gentes, e como há outros protocolos que não suportam este mecanismo directamente (e.g. os protocolos de correio electrónico utilizados pelo Outlook, Thunderbird, Mail.App, ou os protocolos de mensagens instantâneas do Google Talk e do iChat), a Google optou por suportar estes programas através de um código de utilização única, para cada uma destas aplicações, que, embora não seja muito diferente de uma password (muito) reforçada, só pode ser utilizada, em exclusivo, por cada um destes programas. Por outras palavras, cada aplicação tem a sua password específica, diferente de todas as outras, e que pode ser revogada individualmente – está disponível uma página especialmente para esse efeito.

A Google pretende estender a utilização deste mecanismo ao universo de todos os seus utilizadores mas, para já, disponibilizou este controlo para as versões Google Apps Premier, Education, e Government. A versão standard também será abrangida, nos próximos meses, assim como as outras aplicações utilizadas pelos milhões de utilizadores dos serviços Google.

Os administradores das versões que já foram abrangidas podem activar o mecanismo de imediato, através da interface Inglesa, no Admin Control Panel.

Dito isto, resta-me acrescentar meia dúzia de comentários que, na minha opinião, são importantes para reflectirmos sobre o efeito destas medidas acrescentadas pela Google. São os seguintes:

  1. A necessidade de proteger o acesso aos telemóveis, à medida que vamos acrescentando funções de autenticação, essa necessidade, vai aumentar: Já não é boa ideia deixarmos os aparelhos sem qualquer controlo de acesso às aplicações, nem que seja um simples PIN de 6 dígitos (by the way, aquele controlo-base dos Androids, aquela coisa de desenhar um boneco no ecrã, essa coisa, não vale (quase) nada – o desenho fica marcado no ecrã. E sei-o bem, por experiência...);
  2. Considerando que a Google disponibiliza OpenID, um protocolo que permite, a outras empresas, utilizar o mecanismo de autenticação da Google para gerir os seus próprios acessos, a tentação de usar este controlo, agora mais reforçado, para evitar o esforço e o custo de realização do seu, pode conduzir a um cenário no qual, se a conta Google for comprometida, todas as outras contas que dependam dela também serão comprometidas. Beware...
  3. Corolário do ponto anterior: o poder da Google, nesse contexto, só vai conhecer uma tendência – Crescer. Novamente, beware...
  4. A Google tem levado a cabo alguns esforços que visam reforçar, de facto, a segurança da informação e a privacidade dos seus clientes. São exemplos, para além deste mecanismo, (i) a procura web sobre um canal cifrado (SSL) que garante a confidencialidade das pesquisas (de uma perspectiva externa à Google, claro) e (ii) a recuperação de passwords através de SMS. Estas iniciativas são importantes e devem ser seguidas porque são, como é óbvio, muito bons exemplos;
  5. Corolário do ponto anterior: algumas das aplicações mais críticas que operam dados sensíveis, em Portugal e no resto do globo, bem podiam beneficiar da adição de controlos equivalentes;
  6. O que está a ser reforçado por este novo mecanismo é o controlo da autenticação dos utilizadores. Este controlo não mitiga o risco de (i) malware instalado nas máquinas dos utilizadores que, após a entrada legitima nestes serviços, possa executar funções de forma ilegitima em seu nome; nem (ii) fraudes dirigidas directamente aos utilizadores, vulgarmente designadas por phishing, que, através de técnicas de engenharia social (também conhecidas por vigarice, falinhas mansas e manipulação), possam convencê-los a preencher um formulário muuuiito importante ; ) com a sua password e um código OTP pronto a usar; e, por último,
  7. Bem, o último era mesmo o anterior: 'nough said already : )

Mais informações? Encontram-nas por aqui: googleonlinesecurity.blogspot.com