Proponha uma correção, faça uma sugestão
É o fim das SMS no Gmail! Autenticação será substituída por códigos QR
A Google quer trocar a verificação por SMS no Gmail por um novo sistema com códigos QR. A empresa usa há anos as mensagens de texto como segundo fator de autenticação na segurança das contas, mas acredita agora que este método se tornou vulnerável e prepara uma alternativa mais robusta.
Foi o porta-voz do Gmail, Ross Richendrfer, que confirmou esta alteração, tendo justificado de forma clara. "Da mesma forma que queremos afastar-nos das palavras-passe com chaves de acesso, queremos afastar-nos do envio de mensagens SMS para autenticação".
Esta decisão é uma resposta ao aumento significativo de casos de phishing onde os criminosos conseguem capturar estes códigos. O atual sistema de verificação por SMS apresenta várias fragilidades. Os códigos podem ser intercetados por cibercriminosos utilizando técnicas de engenharia social ou ataques de troca de SIM.
A nova proposta da Google vai eliminar a necessidade de introduzir um número de telefone e receber um código numérico. Em vez disso, os utilizadores verão um código QR que devem digitalizar com o smartphone. Esta transição dificulta os ataques de phishing, uma vez que não existe código que se possa tentar obter, além de reduzir as dependências no processo.
A Google já demonstrou interesse em melhorar esta tecnologia quando atualizou o Google Authenticator com a digitalização de código QR. Embora não esteja confirmado se utilizarão esta aplicação específica para o novo sistema, o desenvolvimento aponta claramente nessa direção.
Os códigos QR não são isentos de riscos, como demonstrado pelos ataques recentes dirigidos a utilizadores do Signal utilizando códigos QR maliciosos. A Google terá de garantir a implementação de camadas de proteção suficientes para evitar que o seu sistema seja vítima de vulnerabilidades semelhantes.
Nos últimos meses, a Google integrou códigos QR em mais produtos, como mostra a funcionalidade de digitalização automática no Circle to Search. Não especificou quando começará a implementar esta mudança, afirmando apenas que tal acontecerá "nos próximos meses".
Loading ...
O pior nem era isso, é que a Google permite confirmar a entrada no Gmail apenas com o número de telemóvel, sem qualquer código. Quando fazia login no Gmail no computador do emprego, como não é o habitual, pedia confirmação, e dava a possibilidade por SMS, chamada ou simplesmente introduzir o número de telefone. Alguém que tenha acesso à nossa password, também não será complicado ter acesso ao número de telefone…
Já me aconteceu ter problemas a ler QR codes com o telemóvel, principalmente quando a luz não é a melhor. E se estiver com pressa para entrar na conta? Pode ser chato ter que andar a alinhar a câmara.
Além disso, lembro-me de ter lido sobre ataques usando códigos QR falsos. A Google vai ter que ser mesmo esperta para garantir que isto não acontece com o sistema deles.
No fundo, acho que é uma mudança que faz sentido, mas vai dar trabalho para nos habituarmos. Espero é que dêem opções para quem não se sentir confortável com esta novidade, pelo menos no início.
O que me preocupa mais é que isto é só mais um passo para nos tornarmos cada vez mais dependentes dos smartphones. Já quase não consigo fazer nada sem o telemóvel, e agora nem sequer vou poder entrar no email sem ele!
Enfim, vamos ver como corre. Pode ser que me surpreenda pela positiva!
Os QR codes foram desenhados para não necessitarem de alinhamento. Podes lê-los em qualquer posição. A questão da luz também não faz sentido, porque eles aparecem no ecrã do dispositivo. Se tiveres CMD ativada, podes ver como este método de autenticação funciona, já lá está disponível.
Além disso, tens sempre outros métodos alternativos de autenticação, como passkeys, TOTP, chaves de segurança FIDO/U2F e códigos de backup. 2FA por SMS já deveria ter sido descontinuado há muito tempo.
Sim, é verdade. Concordo.
Foi o meu assistente que escreveu a msg anterior!
Já há muito que deveriam ter acabado com tecnologia antiga e insegura como as SMS seja para o que for, nas contas que uso desligo ou removo sempre que posso a autenticação/recuperação por SMS por alternativas modernas como TOTP (Authenticator) ou mais seguro como FIDO2, U2F como por exemplo chaves físicas yubikey.
Essa ideia tem um problema (que na empresa, onde trabalhei, tivemos de desistir): Ao aceder, via telemóvel, à base de dados, da empresa, exigia que se lesse o QR, recebido por MMS. Agora, o maior problema: Era preciso outro telemóvel, para o poder ler. A única maneira, foi , a empresa, adquirir uma app, que lia, a imagem. Rapidamente se mudou, de volta, para o código, via SMS. Só o acesso ao servidor, que só pode ser feito, por computadores, ligados à rede, dentro da empresa, é que usa o QR, para identificar o utilizador.
Esse problema pode ser ultrapassado, pelo menos em Android, com a tecnologia que a Google usa no Circle to Search, que eu desconfio que será utilizada na implementação que farão para o Gmail.
Se eu estou no smartphone e algo me pede para usar o qrcode, como eu faco isso se no proprio smartphone eu tenho de sair da app para usar a app de scan?
Não, isso não vai pedir porque supostamente esse smartphone está já reconhecido como fidedigno. O QR é quando aceder à conta em novos dispositivos.
A questão é:
“Se eu estou – no computador, a aceder à conta via browser – como é que eu faço?”
Fazes a leitura da imagem do QR code com a máquina fotográfica do smartphone. “Bué” de serviços de internet já fazem isso, por exemplo, serviços de streaming – aponta-se a máquina fotográfica para um QR code que é exibido num ecrã e a autenticação fica feita.
Obviamente, se se está a aceder com uma app do smartphone, não te pedem uma leitura do QR code com o mesmo smartphone.
Apesar de à partida não ser necessário, porque regra geral o teu tlm está já reconhecido como dispositivo fidedigno, algumas das tecnologias já disponibilizadas pela Google no Android podem servir para ultrapassar essas questões, como por exemplo o Circle Search.
O pior mesmo era dar para entrar numa conta Google (conhecendo a password como é óbvio), de um dispositivo não habitual, apenas confirmando o número de telemóvel. Davam opção de SMS, chamada de voz ou simplesmente inserir o número. Diria que para quem obter as credenciais não é muito complicado de obter o número de telefone.
Pois eu não uso autenticação dois factores, uso pass e nunca tive qq problema, alias o único problema que tive foi ter carregado aqui num lado qq qdo estava a ver a newsletter do pplware e agora vou ter de formatar o telemóvel porque não paro de receber publicidade. No PC nunca me aconteceu porque o clique do rato onde não devo é mais difícil de acontecer, aqui no telemóvel qq toque com o dedo é suficiente para ir para onde não deve…..
Nunca tive qq problema com senhas, acho que era mais fácil configurar o número de tentativas login com limite num determinado tempo e uma boa senha….
Agora se metem senhas simples ah pois mais dia menos dia é para ter problemas
+1
Quanto muito irei usar uma pen USB como chave física…..qr codes, querem é criar dependência do telemóvel
Pen USB como chave física?! Querias dizer yubikey, certo!! A pen USB que eu saiba não serve como chave!!
Sim sim, nunca usei mas um dia pode ter de ser, depois tem é de andar sempre comigo, ou se a passar a alguém é por minha iniciativa, pode ser como segundo factor de autenticação e não tenho de andar a meter dados biométricos que nunca se sabe onde vão parar
Um dos problemas de validar com vários fatores. Tive um problema com o telefone (caiu e partiu o ecran), solução, comprar telemovel novo, para aceder ao meu email foi um problema dos diabos, a pedir para confirmar a identidade ao enviar um codigo para o dispositivo antigo (que não conseguia ter acesso).
Não tinha o envio da sms por ter outros métodos mais seguros (diziam eles).
Tanta segurança e se formos a ver não conseguimos depois aceder ao email na mesma.
Depois de inumeras tentativas, lá apareceu a tal maneira para enviar sms. Mas sinceramente não sei bem como fazer para evitar isso tudo.
Sabes que podes e deves definir meios de autenticação alternativos para emergências como essa, certo? O mais simples de todos são os Backup Codes, que imprimes e guardas em lugar seguro, mas acessível. São um conjunto de 10 códigos de utilização única que te permitem facilmente ultrapassar situações complicadas como a que descreveste. Podes definir várias formas de 2FA, assim ficas salvaguardado.