O Google notifica os usuários do Chromebook para redefinir suas chaves de segurança interna
A invenção da autenticação de dois fatores (2FA) foi necessária pelas falhas inerentes ao sistema tradicional de nome de usuário e senha. Os especialistas em segurança defendem seu uso há anos e, devido aos constantes elogios, algumas pessoas são tentadas a pensar que, ao ativar o 2FA, elas praticamente eliminaram as chances de aquisição de contas. É por isso que eles ativam o 2FA e prestam muito menos atenção às suas senhas.
Esses usuários tendem a esquecer, no entanto, que, se o 2FA falhar, a senha humilde é a única coisa que mantém seus dados seguros. E uma vulnerabilidade do Chromebook recentemente divulgada pelo Google fornece mais uma prova de que o 2FA pode falhar. Antes de chegarmos aos detalhes, precisamos ver como o sistema 2FA em questão funciona.
Índice
Alguns Chromebooks vêm com sistemas 2FA incorporados
Como você provavelmente sabe, o 2FA pode ser implementado de várias maneiras diferentes. Os especialistas consideram os sistemas que giram em torno do padrão U2F os mais seguros, porque o segundo fator geralmente depende de um token de hardware que não pode ser invadido pela Internet. Além disso, dentro dele, algoritmos criptográficos complexos geram chaves especiais que fornecem muito mais segurança quando comparadas aos códigos enviados por mensagens de texto ou senhas temporárias.
Há pouco mais de um ano, o Google decidiu implementar um sistema 2FA semelhante em seus Chromebooks. A diferença foi que acabou com os tokens de hardware adicionais. Em vez disso, tudo o que você precisa fazer para ativar o segundo fator é pressionar o botão Liga / Desliga no Chromebook. Inicialmente, o sistema estava disponível apenas nos Pixelbooks do Google, mas depois de um tempo, outros fabricantes começaram a usar chips que também o habilitavam em seu hardware. O Google chama a tecnologia de "Chave de segurança integrada" e é inflexível que ainda esteja em fase de teste. Claramente, há coisas que precisam ser abordadas.
Uma falha na implementação 2FA do Google coloca em risco as chaves de segurança
No coração do vulnerável sistema 2FA está um algoritmo de assinatura digital de curva elíptica (ECDSA), que deve gerar valores secretos aleatórios. Esses valores funcionam juntamente com assinaturas criptográficas registradas no serviço online para gerar as chaves que fornecem o segundo fator.
A equipe de segurança do Google descobriu que, devido a uma implementação incorreta do ECDSA, os valores gerados tinham entropia muito menor do que o previsto. Isso significava que um invasor poderia adivinhar quais eram esses valores e, usando assinaturas roubadas, calcular a chave mais importante, derrotando o segundo fator sem ter acesso ao Chromebook da vítima.
Deve-se dizer que nem todos podem desencadear esse ataque. Antes de tudo, os hackers precisam obter a assinatura correta, que geralmente é transmitida por HTTPS e é difícil de interceptar. Depois, eles terão que descobrir como a geração vulnerável da ECDSA funciona e calcular os valores exatos que eventualmente os levarão à chave.
A vulnerabilidade já foi corrigida
Apesar do fato de um ataque não parecer muito provável para a maioria das pessoas, o Google fez a coisa certa e corrigiu a falha de segurança. A versão 75 do Chrome OS vem com um patch, e os usuários do Chromebook (especialmente aqueles que possuem laptops listados na seção "Dispositivos afetados" da divulgação do Google ) devem verificar se estão instalados. As pessoas que usaram o sistema 2FA vulnerável também devem prestar atenção aos alertas que o SO mostra e substituir suas assinaturas registradas por novas.
Uma coisa que as pessoas não devem fazer é desativar o 2FA por causa de vulnerabilidades como a descrita acima. Sim, às vezes falha em agir da maneira que deveria, mas mesmo a implementação menos segura ainda adiciona uma camada de proteção que simplesmente não existe sem ela. Não esqueça, no entanto, que o primeiro fator é tão importante quanto o segundo.