autenticação de dois fatores (2FA) | WebaDesign - Empresa de Webdesign - Desenvolvimento Web Design Macaé e Curitiba

Android 15 deve proteger notificações com códigos para login

20 de fevereiro de 2024

Android 15 deve proteger notificações com códigos para login

Android 15 deve chegar só no segundo semestre (imagem: Vitor Pádua/Tecnoblog)

O Android 15 poderá ter proteções adicionais para evitar que aplicativos maliciosos tenham acesso a códigos de login enviados para o aparelho por e-mail ou SMS. Trechos do código da versão beta do Android 14 sugerem que o Google está trabalhando para limitar estas informações.

O jornalista Mishaal Rahman, do Android Authority, analisou o código do Android 14 QPR3 Beta 1 e encontrou uma permissão específica para os aplicativos receberem notificações sensíveis. O nível de proteção dela sugere que apenas apps certificados por fabricantes poderão ter esse tipo de acesso. Assim, fica mais difícil para um malware conseguir ler códigos de login.

Notificações com códigos são ponto vulnerável (imagem: Andrew Mantarro/Unsplash)

Além disso, a plataforma conta com um recurso, ainda em desenvolvimento, que oculta informações de notificações sensíveis. Assim, apps que usam o serviço de checar notificações não conseguiriam ler o que está escrito nessas mensagens.

Google prepara proteções desde o Android 13

Estas duas pistas se juntam a uma terceira, mais antiga. O código do Android 14 tem um sinalizador para ocultar notificações de senhas de uso único (OTPs, na sigla em inglês) na tela de bloqueio. Este sinalizador ainda não é usado, mas existe a possibilidade de ele ser colocado para funcionar na próxima versão.

O Google, portanto, está preparando três recursos para impedir que aplicativos maliciosos tenham acesso a notificações com códigos de autenticação em dois fatores (2FA, na sigla em inglês) e OTPs. Além disso, desde o Android 13, aplicativos de fontes não confiáveis (de fora da Play Store, por exemplo) não têm acesso ao serviço de monitorar notificações, por motivos de segurança.

Com informações: Android Authority
Android 15 deve proteger notificações com códigos para login

Android 15 deve proteger notificações com códigos para login
Fonte: Tecnoblog

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

26 de janeiro de 2024

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Ataque de pulverização de senhas deu acesso a conta sem 2FA (imagem ilustrativa: Vitor Pádua/Tecnoblog)

A Microsoft detalhou um ataque hacker a seus sistemas, que permitiu acesso a e-mails corporativos de lideranças da empresa. A invasão foi possível porque havia uma conta de testes sem autenticação de dois fatores. Foi a partir dela que os atacantes conseguiram acesso às plataformas. A companhia atribui a ação ao grupo russo Midnight Blizzard e alerta que outras organizações estão sob risco.

O ataque foi revelado no último dia 19 de janeiro, quando a Microsoft comunicou o ocorrido à SEC, entidade responsável por fiscalizar o mercado financeiro nos EUA. Nesta sexta (26), a empresa publicou os detalhes em seu blog.

A invasão usou a técnica de pulverização de senha, também conhecida como password spray. Nesta técnica, os hackers usam algumas senhas comum (às vezes, apenas uma) para tentar entrar em várias contas ao mesmo tempo. Segundo a Microsoft, o grupo “adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando poucas tentativas para não ser detectado”.

Deu certo. Os atacantes conseguiram entrar em uma conta de teste legada e não produtiva, nas palavras da própria Microsoft. Isso significa que essa conta não era usada para trabalho, apenas para testes de um ambiente antigo. Ela não contava com autenticação de dois fatores (2FA). Isso teria impedido o ataque.

Com acesso a essa conta, os hackers comprometeram um aplicativo de teste com autenticação OAuth e o utilizaram para conseguir mais acessos nos sistemas da Microsoft.

Lideranças dos departamentos de cibersegurança e legal da Microsoft tiveram seus e-mails acessados (Imagem: Stephen Brashear/Microsoft)

Hackers podem ter atacado outras organizações

A Microsoft diz que o grupo conhecido como Midnight Blizzard foi o responsável pela invasão. Ele também é conhecido como Nobelium, APT29 e Cozy Bear. Suspeita-se que os hackers estejam trabalhando a serviço do Serviço de Inteligência Estrangeiro da Rússia.

A empresa diz que os hackers conseguiram acesso a um número muito pequeno de contas de e-mail corporativo da Microsoft, nas áreas de liderança, cibersegurança e legal. Curiosamente, o objetivo dos hackers parecia ser encontrar informações sobre eles mesmos, para descobrir o que a companhia sabia.

Além disso, a Microsoft afirma que os mesmos atacantes têm atacado outras organizações, que estão sendo notificadas pela empresa. A Hewlett Packard Enterprise, braço da HP dedicado a clientes corporativos, revelou que seu sistema de e-mail também foi hackeado. O serviço é hospedado pela Microsoft. O grupo Midnight Blizzard também foi responsável por este ataque.

Com informações: TechCrunch, Bleeping Computer, The Verge
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Fonte: Tecnoblog

Mais segurança pode significar menos senhas (ou senha nenhuma)

10 de novembro de 2023

Mais segurança pode significar menos senhas (ou senha nenhuma)

A senha é um dos elementos mais básicos de nossa vida on-line, e da própria computação pessoal. Está presente há décadas: desde o ano do começo da década de 1960, para ser mais preciso.

As chaves de acesso, ou passkeys, podem substituir as senhas tradicionais (Imagem: Vitor Pádua / Tecnoblog)

Havia no MIT um computador chamado de Compatible Time-Sharing System (CTSS). Essa máquina foi a precursora de algumas das funcionalidades mais importantes da computação, como o e-mail e o compartilhamento de arquivos.

Uma vez que vários pesquisadores utilizavam o CTSS, era necessário assegurar a privacidade dos arquivos de cada um. Foi nesse contexto que surgiu a senha. Já na época, a solução pareceu óbvia, além de relativamente fácil de implementar. A partir daí, ela se tornou a forma mais difundida de autenticação nos computadores.

Estamos em 2023, no entanto, e muita coisa mudou. Os avanços em segurança da informação foram muitos, mas, quando se fala de senhas, vulnerabilidades sempre estão presentes. Vazamentos ocorrem com frequência, além de golpes para roubo de dados, como o famoso phishing.

Assim, por mais estranho que possa soar, o próximo capítulo da história da autenticação pode ser uma guinada para longe das senhas.

Passkeys entram em cena

As chaves de acesso, ou passkeys, no original, são uma forma de autenticação que vem ganhando mais espaço em plataformas do Google, Apple e Microsoft. Com elas, você não precisa de uma senha para acessar suas contas.

O processo é semelhante ao desbloqueio do celular. Ao invés da senha alfanumérica, você poderá utilizar a biometria facial ou impressão digital para fazer o login em algum serviço. Outros meios de validar sua identidade podem ser o PIN do Windows Hello e o padrão geométrico do celular.

O Google já liberou a funcionalidade para usuários já ativos, mas a oferece como padrão para novas contas. A empresa afirma que as passkeys são 40% mais rápidas do que as senhas tradicionais. Além de mais seguras.

Isso porque ficam armazenadas nos dispositivos em si, como uma chave criptográfica privada. Quando o usuário cadastra uma passkey, outra chave correspondente — a chave pública — é enviada ao serviço em questão. A relação entre ambas é a seguinte, de acordo com o blog de segurança do Google:

Quando você faz login, pedimos ao seu dispositivo que assine um desafio exclusivo com a chave privada. Seu dispositivo só fará isso se você aprovar, o que requer o desbloqueio do dispositivo. Em seguida, verificamos a assinatura com sua chave pública.

Não há necessidade de memorizar uma senha para logar, portanto. E, se não há senha cadastrada, não há senha que agentes maliciosos possam roubar. Sem senhas, não há vazamento de senhas.

É má notícia também para golpistas que praticam o phishing, criando sites falsos que se parecem com os de serviços verdadeiros para coletar dados. Uma vez que não há senha, e a chave pública só fica armazenada num serviço específico — a nuvem do Google, por exemplo —, não há o que ser roubado.

O Google permite até mesmo que a verificação em duas etapas seja pulada com o uso de passkeys. Vale lembrar que muitas pessoas utilizam o SMS como segunda etapa, o que as coloca em risco em caso de SIM swap. Menos uma preocupação.

Senhas por toda parte

No Tecnocast 312, conversamos sobre as passkeys e nossa relação com as senhas. Um ponto destacado é que, ao longo de nossa vida digital, administrar a quantidade de senhas foi se tornando caótico.

O motivo é óbvio para qualquer um que use a internet: tudo exige login e senha. Dessa forma, temos cada vez mais informação para gerir. Isso leva muita gente a criar senhas fracas, ou repetir a mesma senha em diversos serviços, o que não é indicado.

Para ajudar pôr ordem na bagunça, entram em cena os gerenciadores, capazes de gerar senhas fortes e armazená-las. Mas isso não é suficiente: a necessidade por mais segurança traz os aplicativos voltados para verificação em duas etapas para a mesa.

No entanto, ainda há uma parcela significativa de pessoas que não usam essas ferramentas, ou então mantém o SMS como forma básica de autenticação em dois fatores.

Não tem jeito: onde há senha, há vulnerabilidade, por maiores que tenham sido os avanços em segurança da informação nas últimas décadas. Vazamentos ocorrem com frequência, e novos golpes surgem a todo momento.

Por todos esses motivos, fica fácil entender o ímpeto de deixar as senhas para trás. E a adesão das principais empresas de tecnologia tende a tornar a tecnologia mais disseminada nos próximos anos.

O Google não esconde que as passkeys são parte de um projeto. As senhas continuam valendo por agora e certamente continuarão entre nós por muito tempo, afinal, nem todo dispositivo dá suporte às passkeys. Mas isso tende a mudar. O objetivo é claro: construir um futuro sem senhas.
Mais segurança pode significar menos senhas (ou senha nenhuma)

Mais segurança pode significar menos senhas (ou senha nenhuma)
Fonte: Tecnoblog

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Category: autenticação de dois fatores (2FA)

Android 15 deve proteger notificações com códigos para login

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Mais segurança pode significar menos senhas (ou senha nenhuma)