Google – Verificação em duas etapas desmistificada
As questões de segurança nunca devem ser esquecidas e descuradas. Ainda hoje foi apresentado um artigo sobre a possibilidade de utilização de um código de utilização única para login no Outlook.com, o novo serviço de email da Microsoft.
A Google, com o seu sistema de verificação em duas etapas oferece um sistema similar para acesso aos seus serviços. Matt Cutts, evangelizador da Google e chefe da equipa de Webspam desta empresa veio agora desmistificar este sistema e reforçar que todos o devem usar.
Num artigo apresentado no seu blog, Matt Cutts apresenta e reforça a necessidade de utilização da verificação em duas etapas na autenticação dos serviços da Google como medida adicional de segurança.
Este sistema permite que acedam a estes serviços de forma rápida e com recurso a um factor extra para além de colocarem a vossa password. Com a geração de um simples código aumentam a segurança dos vossos dados pois adicionam alguma segurança e complexidade de acesso ao mesmo.
Este código pode ser gerado com recurso a uma simples aplicação que está disponível para Android e para iOS. Caso o vosso telefone não suporte esta aplicação os códigos podem ser enviados por SMS.
Matt Cutts pretende ainda desmistificar a utilização deste método e destas aplicações, respondendo a algumas questões que são apresentadas com frequência e que mostram o desconhecimento dos utilizadores face a todas as suas potencialidades.
Mito #1: E se o meu telefone não receber SMS's, estiver sem rede ou eu estiver no estrangeiro?
Verdade: Podem instalar a aplicação Google Authenticator (que está também disponível na App Store), pelo que o seu telefone não precisa de ter sinal.
Mito #2: Certo, mas e se o meu telefone estiver sem bateria ou se for roubado?
Verdade: Podem imprimir num pequeno pedaço de papel 10 códigos utilizáveis uma vez e colocá-lo na sua carteira. Use cada um destes códigos apenas uma vez para se autenticar mesmo que não tenha o seu telefone.
Mito #3: Tenho de colocar um PIN extra sempre que me quiser autenticar?
Verdade: Pode indicar ao Google que pretende confiar nesse computador por 30 dias e em alguns casos ainda mais tempo.
Vejam no vídeo abaixo uma explicação detalhada como usar a verificação em duas etapas:
Mito #4: Ouvi dizer que a verificação em duas etapas não funciona com POP e IMAP?
Verdade: Podem usar a verificação em duas etapas com o POP e o IMAP. Podem criar uma “password por aplicação" que o vosso cliente de email pode usar em vez da vossa password. Podem revogar essas passwords a qualquer altura.
Mito #5: Certo, mas e se eu quiser verificar a segurança do Google Authenticator?
Verdade: O Google Authenticator é gratuito, open-source e baseado em standards abertos.
Mito #6: Então o Google Authenticator é gratuito e open-source, mas mais alguém o usa?
Verdade: Sim! Pode usar o Google Authenticator para verificação em duas etapas com o LastPass,WordPress, Serviços Web da Amazon, Drupal e DreamHost. Pode ainda ser usado com um dispositivo YubiKey. Existe ainda um Pluggable Authentication Module (PAM) para que possam adicionar a verificação em duas etapas em qualquer aplicação com autenticação PAM. Isto significa que podem usar o Google Authenticator para adicionar a verificação em duas etapas ao SSH, por exemplo.
Agora que está explicado um pouco melhor a verificação em duas etapas da Google e a sua aplicação Google Authenticator, activem-na e passem a usufruir de uma segurança adicional.
Lembrem-se também de ter passwords distintas para cada um dos serviços e não a coloquem em computadores que não possam considerar seguros e livres de problemas.
Não custa garantir a nossa segurança e a dos nossos dados. Basta tomar algumas medidas simples de segurança e usar as ferramentas e funcionalidades adicionais que muitos serviços já fornecem.
Homepage: Google - Verificação em duas etapas
Este artigo tem mais de um ano
Se o meu telemóvel associado à Conta Google for roubado e o ladrão souber o endereço do GMail, (o que não é difícil se ele me conhecer pessoalmente), ele pode pedir um código destes que lhe é enviado por sms, mudar a password da conta e evitar que eu entre nela, em poucos minutos (eventualmente até antes que me aperceba que fui roubado, se estiver ocupado com algo). Como é que o Google pensa prevenir isto?
Estou a basear-me num dumbphone dos antigos sem acesso à internet.
Isto claro tendo em conta que o hipotético ladrão, antes de pedir o código, selecciona a opção “Esqueci-me da palavra passe”, o que lhe permite pedir o código por sms e entrar na conta sem necessitar de a saber.
O pedido do código para o telemóvel só acontece depois de colocar a palavra-passe. O “token” é o segundo passo, o primeiro é a palavra-passe.
Com a autenticação em duas etapas o “ladrão” tem de ter sempre acesso a 3 coisas: o endereço de email, a senha e o código numérico dinâmico. Mesmo que um utilizador mal intencionado tenha acesso a um código que seja válido, para além do endereço de correio electrónico tem também de conhecer a senha que identifica a conta. Supondo que a sessão já estava iniciada num equipamento, para alterar a senha é sempre solicitada a senha atual ou a resposta a uma pergunta de segurança.
Como foi dito no artigo, o que este método de autenticação faz é adicionar mais uma etapa na autenticação que poderá ser o ponto de diferenciação para a proteção da conta, quando o par nome de utilizador e senha for comprometido.
Essa opção de recuperação não se processa da forma como a relatas, ou é através de um email alternativo ou então feita por pergunta de segurança…
Mesmo assim, se o telemóvel e cartão estiverem bloqueados também já não é assim tão fácil…
isto aparece em que caso? nunca me apareceu este tipo de verificação …
Tens de o activar. Vai às tuas configurações do perfil Google e vais achá-lo por lá.
https://www.google.com/settings/security
Pode ser um bocado aborrecido, mas fui obrigado a começar a utilizar este sistema no meu novo emprego e agora estou mais consciente das suas vantagens.
Recomendo.
Já utilizava, recomendo vivamente!
Já uso também há muito tempo e sinto-me seguro. Além de recomendar, acho que devia ser obrigatório… para ninguém se queixar quando é invadido por ter palavras-passe fracas ou populares.
Desde que alguém na venezuela acedeu à minha conta mudei logo para para o 2 step verification+ pass complexa. So far so good 🙂
já utilizo à algum tempo, a principio chateava-me mas agora ja o faço de forma quase automática. é só meter o código da sms e está feito. em caso de hack é uma protecção adicional valiosa. recomendo.
Se este senhor tivesse essa autenticação, se calhar o desfecho podia ter sido outro….
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
Excelente comentário.
Garantidamente o comentário mais importante e pertinente que li nesta noticia.
Já uso esta verificação de dois passos e uma chave de aplicação desde que a Google implantou essa funcionalidade.
Como explicado, é mais uma camada de segurança que aplicamos às nossas contas Gmail.
Muito obrigado.
Nem fazia ideia que isso existia mas já activei.
Qualquer dia mandam uma calculadora para casa para gerar o código associado ao email , tipo igual há do meu banco que gere um código de acesso á conta online em 4 passos. Chato pra caramba, mas é Banco.
Por acaso ja utilizava a algum tempo, mas a verdade é que ha certos serviços que não é suportada… entao decidi cancelar!
Serviços tais como?
Para esse tipo de serviço tens de usar as passwords de aplicação que é gerada/criada em “security”, assim “torna-se” em verificação de um só passo sendo supostamente compatível com tudo…
Exacto, claro que é compatível com tudo.
Adicionalmente, há a hipótese de revogar o acesso a essa aplicação/serviço. É uma segurança para sincronização do Google Chrome ou mesmo um dispositivo Android a que tenhamos perdido o rasto. Revoga-se o acesso e os dados permanecem seguros e privados.
tanks to me pelo divulgamento aproveito para informar que essa verificaçao nao e so boa para o seu andorid mas sim tambem serve para apenas sincornizaçoes de browsers ou consulta de emails e que a adesao a este serviço nao e preciso ou obrigatoriamente ter um smartfone funciona de igual modo como o do outlook.com
O sms com o código é gratuito? Se não, tem custo fixo ou depende da operadora?
Sim… é totalmente gratuito
Tive esse receio ao início mas é completamente gratuito!
tb ja usei, jas deu-me tantos problemas com as aplicações que acedem a minha conta que uso para fazer as sincronizações dos calendarios e afins e até nas aplicações de mail do android, que acabei por desactivar
Para essas aplicações problemáticas usas as passwords de aplicação!
Eu tb já usei, o grande problema que encontrei foi ficar a espera de não sei quanto tempo do dito sms… para alem de que ficava sempre com a sensação que não sabia se tinha pedido o codigo durante a operação, pelo que pedia o codigo novamente, e então la vinha mais um… cheguei a um ponto que recebi codigos durante o dia todo e não consegui aceder ao email nesse dia.
Se os sms’s passarem a ser quase instantaneos, até que reactivo o serviço.
Mas prontos, aqui fica a minha experiência não para desmotivar, mas sim para que fiquem com a consciencia que os sms’s por vezes demoram um bom bocado a atravessar o atlantico 😛
Nunca tive esse tipo de atraso, apenas acontece depois de instalar uma ROM nova no android e não consigo aceder à mensagem pois o ecrã está bloqueado no “assistente de inicialização”. Para esse tipo de situações peço sms ou chamada para outro telemóvel que tenho 😛
Talvez o SMS não seja a melhor opção devido ao tempo que pode demorar. Mas para quem tiver um telemóvel Android e instalar o Google Authenticator é um mimo…
Acredito que sim, mas o Google Authenticator não funciona para pc, se quiseres aceder a tua conta a partir de dois pcs tens que usar o sms, ahhh… e não há Google Authenticator para windows mobile 6.5 … old school 😛
O sms é no telefone. Se podes usar o sms podes usar o Google Authenticator. Eu nunca uso a opção sms, não faz sentido porque tenho o Google Authenticator instalado e por isso é mais rápido para aceder nos PC’s
Gerardo, só há Google Authenticator para Android, Blackberry, or iPhone, eu sou da velha guarda que AINDA tem um windows mobile, até a propria microsoft já descontinuou o produto e não dá qualquer tipo de suporte, por isso não posso usar o Google Authenticator. Sobre os atrasos no sms, eu uso optimus, e estou a falar de uma experiencia de a uns 4 – 6 meses. Pode ser que tenha alterado entretanto, mas ficou o alerta para quem tiver que usar o sms. Vou experimentar novamente, a ver como corre desta vez 😛
Quando o SMS demora mais de 5 segundos a chegar, peço imediatamente a chamada.
Não percebi. Qual chamada ?
A google telefona-te a dizer o código
lol
Mas vocês têm atrasos? É normal acontecer?
Já tenho este serviço há mais de um ano e nunca tive atrasos, tanto na TMN como na Optimus, tanto no smartphone como num dumbphone 😕
Question:
Tenho android. Obv que o vou ter logged in no google, nem que seja com uma das tais specific app password.
Roubam-me o telemovel.
Acedem ao meu email, mudam-me a password.
Then what can I do?
—
Estou a assumir que também façam bypass ao lock screen. É certo que muita gente tem lock screens pouco seguros.
Este risco tanto existe com 2-step verification como não, no fundo acabo por estar a alertar a importância de ter uma protecção de lockscreen boa.
mesmo que tenham acesso a uma conta autenticada no telemóvel, para alterar aa senha, precisam de conhecer aa senha antiga, ou aa resposta à questão de segurança da conta…
O problema é que por causa desta porcaria perdi acesso á minha conta que foi hackeada e tenho inumeros serveços associados ao mesmo ! como pensam resolver isto ? Pensam que brincam com quem ?
O sms é no telefone. Se podes usar o sms podes usar o Google Authenticator.
Sem querer eu exclui o lugar onde gera os codigos no google autenticathor, e não tenho nenhum codigo reserva e nem por sms ou email, o que fazer?
Fiz um hard reset no meu android, logo não me toquei na autenticação em duas etapas com o google authenticator, como posso recuperar minha conta?
cheguei até um link do google onde eu tinha um outro e-mail secundário por segurança, eles respondi umas perguntas e no final falaram que ia entrar em contato comigo dentro de 3 a 5 dias uteis será isso verdade?