Update do Google Authenticator e os seus possiveis riscos

[tg88]

Faz um bom tempo que deixei de usar o 2fa do google e uso o Authy, na semana passada recebi um alerta da Foxbit direcionado aos seus usuários que usam o 2fa do google pois uma recente atualização traz novas funcionalidades que podem trazer sérios riscos. A partir de agora o 2fa do google sincroniza em todos os dispositivos Android ou IOS que você logar sua conta via nuvem, então agora se você tiver sua conta google hackeado terá automaticamente chaves 2fa vazadas.

Para remover esse risco é recomendável realizar as seguintes configurações na conta:

- Desativar a função: "sincronização com o Google Cloud" em sua conta Google.
- No app do Google Authenticator, acesse a foto de perfil no canto superior direito e toque em “usar sem uma conta”

OBS: Considero melhor solução é não usar o 2fa do google e usar o authy.

[TryNinja]

OBS: Considero melhor solução é não usar o 2fa do google e usar o authy.

Melhor ainda seria utilizar um app open source que é totalmente offline, ai você fica responsável pelo backup do seu 2FA (i.e escrito em um papel, dentro do cofre). O Authy também tem um sistema de sincronização parecido, onde os seus dados são enviados para um servidor terceiro. Inclusive já houveram diversos relatos de pessoas sofrendo golpes e "dando" acesso aos seus 2FAs para um golpista.

Muita gente sugere mudanças na configuração da sua conta para evitar isso: https://support.gemini.com/hc/pt-br/articles/115000053543-Como-desativar-o-Authy-Multi-Device-Support

[rdluffy]

OBS: Considero melhor solução é não usar o 2fa do google e usar o authy.

Eu utilizo o Authy também, já faz um bom tempo, acho que só tenho o autenticador do google pra umas coisas mais simples que não tem problema se acontecer algo.
O esquema que ele usa pra adicionar um novo dispositivo parece ser mais seguro também

Melhor ainda seria utilizar um app open source que é totalmente offline, ai você fica responsável pelo backup do seu 2FA (i.e escrito em um papel, dentro do cofre). O Authy também tem um sistema de sincronização parecido, onde os seus dados são enviados para um servidor terceiro. Inclusive já houveram diversos relatos de pessoas sofrendo golpes e "dando" acesso aos seus 2FAs para um golpista.

Você tem alguma sugestão de app de autenticação assim? Que funciona offline e é open source?
Pra falar a verdade eu nunca me aprofundei nesses apps, eu só conheço o do Google e o Authy mesmo

[TryNinja]

Você tem alguma sugestão de app de autenticação assim? Que funciona offline e é open source?
Pra falar a verdade eu nunca me aprofundei nesses apps, eu só conheço o do Google e o Authy mesmo

Para Android eu conheço o Aegis: https://getaegis.app

Para IOS eu não consigo recomendar um, então eu uso o Authy com o multi device desligado, que pelo menos não tem o risco de ser um honeypot desenvolvido por um dev aleatório.

[rdluffy]

Para Android eu conheço o Aegis: https://getaegis.app

Para IOS eu não consigo recomendar um, então eu uso o Authy com o multi device desligado, que pelo menos não tem o risco de ser um honeypot desenvolvido por um dev aleatório.

Vou deixar guardado o nome, obrigado
No momento eu também estou utilizando o IOS depois de vários anos só usando Android 

Sobre o Authy, isso é o que falei na mensagem pro tg88, sobre o esquema de adicionar um dispositivo parecer ser mais seguro, justamente por poder deixar o multi device desligado, e só conseguir liberar tendo acesso ao dispositivo.
O Google está tentando caminhar pra deixar as coisas sem senhas e facilitar ao máximo, porém vai deixando brechas

[tg88]

O Google está tentando caminhar pra deixar as coisas sem senhas e facilitar ao máximo, porém vai deixando brechas

Concordo, ainda bem que nesse caso é opcional mas precisamos ficar sempre de olho em como as novidades podem nos afetar. Pra nós brasileiros onde o risco de ter um celular roubado é bem grande a forma de configurar e usar as contas nunca pode estar no modo "padrão" sugerido.

[alegotardo]

Faz um bom tempo que deixei de usar o 2fa do google e uso o Authy, na semana passada recebi um alerta da Foxbit direcionado aos seus usuários que usam o 2fa do google pois uma recente atualização traz novas funcionalidades que podem trazer sérios riscos. A partir de agora o 2fa do google sincroniza em todos os dispositivos Android ou IOS que você logar sua conta via nuvem, então agora se você tiver sua conta google hackeado terá automaticamente chaves 2fa vazadas.

Para remover esse risco é recomendável realizar as seguintes configurações na conta:

- Desativar a função: "sincronização com o Google Cloud" em sua conta Google.
- No app do Google Authenticator, acesse a foto de perfil no canto superior direito e toque em “usar sem uma conta”

OBS: Considero melhor solução é não usar o 2fa do google e usar o authy.

Sempre utiliei o google Autenthicator e considerei seguro, mas de fato essa atualização e possibilidade de sincronizar o códigos me deixou bem receoso.
O problema é que tenho mais de 20 códigos nele e vai ser complicado migrar para o Authy ou outro similar, mas mesmo assim preciso começar a fazer essa mudança nem que seja de ofrma gradual, começando pelos apps mais críticos.

Porém, hoje eu acessei o app novamente à procura dessas funções para desativar e confesso que não encontrei nada, estou com o APP na versaõ 5.20R4 e não há atualizações para baixar, porém o único recurso que está disponível é o "Transferir contas" que me permite importar/exportar os códigos com base em um QRCode que é gerado no próprio APP e precisa ser scanneado por outro aparelho.

Eu utilizo uma conta Google Bussiness, será que é por isso?

[tg88]

Sempre utiliei o google Autenthicator e considerei seguro, mas de fato essa atualização e possibilidade de sincronizar o códigos me deixou bem receoso.
O problema é que tenho mais de 20 códigos nele e vai ser complicado migrar para o Authy ou outro similar, mas mesmo assim preciso começar a fazer essa mudança nem que seja de ofrma gradual, começando pelos apps mais críticos.

Porém, hoje eu acessei o app novamente à procura dessas funções para desativar e confesso que não encontrei nada, estou com o APP na versaõ 5.20R4 e não há atualizações para baixar, porém o único recurso que está disponível é o "Transferir contas" que me permite importar/exportar os códigos com base em um QRCode que é gerado no próprio APP e precisa ser scanneado por outro aparelho.

Eu utilizo uma conta Google Bussiness, será que é por isso?

Dá uma olhada nesse Video que fica mais fácil de encontrar onde está localizada a opção para desativar essa funcionalidade da nuvem. Talvez isso realmente ainda não foi lançado para a versão Business.
Se você tem as suas chaves 2fa em papel até que é bem rápido de migrar para outro software, por algum motivo que desconheço eu tinha alguns backups que funcionavam no 2fa do google porem o Authy não conseguia interpretar e esses sim deram um pouco de trabalho pois tive que refaze-los.

[alegotardo]

Dá uma olhada nesse Video que fica mais fácil de encontrar onde está localizada a opção para desativar essa funcionalidade da nuvem. Talvez isso realmente ainda não foi lançado para a versão Business.

De fato, não tento essa funcionalidade no APP aqui. ao invés da nuvem e imagem da conta, no canto superior direito só tem aquele menu de 3 pontinhos.

De toda forma, acho que em breve isso deve chegar também para a versão business, só acho que a ativação do recurso deveria ser opcional pelo usuário ao invés do usuário precisar intervir para desativar o recurso.

[joker_josue]

Eu sou muito sincero, em muitos casos eu evito usar esses sistemas de terceiros. Percebo a ideia, mas o facto de ter um telemóvel sempre perto de mim para fazer login, não é coisa que eu goste muito. Mas, entendo que acaba por dar uma segurança extra.

Dito isto...

Concordo, ainda bem que nesse caso é opcional mas precisamos ficar sempre de olho em como as novidades podem nos afetar. Pra nós brasileiros onde o risco de ter um celular roubado é bem grande a forma de configurar e usar as contas nunca pode estar no modo "padrão" sugerido.

Realmente estes serviços parece que não foram pensados para utilizadores, que morem em locais onde a criminalidade é mais alta. Então, tem de sempre se tomar medidas diferentes e menos comuns. Não é facil.

[Lucasgabd]

aproveitando o gancho
algum de vcs já teve problemas para atualizar um código 2FA num novo dispositivo?

para mim nunca aconteceu de perder um dispositivo com 2FA (oxalá!)
mas já tive que restaurar em outros devices e tive problema com isso, o código entrava mas gerava 6 digitos diferente do código correto
mesmo quando eu tinha certeza absoluta de ter digitado corretamente e feito o backup corretamente.

 

[rdluffy]

aproveitando o gancho
algum de vcs já teve problemas para atualizar um código 2FA num novo dispositivo?

para mim nunca aconteceu de perder um dispositivo com 2FA (oxalá!)
mas já tive que restaurar em outros devices e tive problema com isso, o código entrava mas gerava 6 digitos diferente do código correto
mesmo quando eu tinha certeza absoluta de ter digitado corretamente e feito o backup corretamente.

 

Provavelmente é um problema na sincronização do relógio
Veja se consegue entrar no app e achar a opção de sincronizar com o servidor

Eu também já tive esse problema e era só isso, depois que sincronizei não deu mais problema

[darkv0rt3x]

Faz um bom tempo que deixei de usar o 2fa do google e uso o Authy, na semana passada recebi um alerta da Foxbit direcionado aos seus usuários que usam o 2fa do google pois uma recente atualização traz novas funcionalidades que podem trazer sérios riscos. A partir de agora o 2fa do google sincroniza em todos os dispositivos Android ou IOS que você logar sua conta via nuvem, então agora se você tiver sua conta google hackeado terá automaticamente chaves 2fa vazadas.

Para remover esse risco é recomendável realizar as seguintes configurações na conta:

- Desativar a função: "sincronização com o Google Cloud" em sua conta Google.
- No app do Google Authenticator, acesse a foto de perfil no canto superior direito e toque em “usar sem uma conta”

OBS: Considero melhor solução é não usar o 2fa do google e usar o authy.

Já deixei de usar o Google Auth há bastante tempo. Aliás, tento não usar nada da Google.
Uso também o Authy.

Outra cena interessante neste capítulo é o Bitwarden. Um password manager que uso mas que também descoberta uma "falha de segurança" que pode comprometer a encriptação dos nossos dados na app. Pus "falha de segurança" entre aspas porque não é propriamente uma falha no source code ou algo do género. É um setting que vem por defeito com um valor muito baixo para um password manager de topo. Esse setting é o número de iterações recomendado pela OWASP de 310000 desde 2021 e o Bitwarde vem com apenas 100000 por defeito (KDF iterations).
https://1password.community/discussion/136293/1p-pbkdf2-iterations-are-less-than-recommended-by-owasp-please-do-better
https://bitwarden.com/help/what-encryption-is-used/

[alegotardo]

Eu sou muito sincero, em muitos casos eu evito usar esses sistemas de terceiros. Percebo a ideia, mas o facto de ter um telemóvel sempre perto de mim para fazer login, não é coisa que eu goste muito. Mas, entendo que acaba por dar uma segurança extra.

Dito isto...

Na real... eu usei muito serviços de lan-house, internet em bibliotecas públicas, escolas e demais computadores compartilhados, sem contar os casos de pishing, enfim sei muito bem o quão vulnerável é confiar apenas às senhas para manter a segurança de suas contas e já sofri pessoalmente desse mal mesmo utilizando senhas fortes.

Hoje os serviços online são mais seguro, pois eles detectam atividades anormais, login em dispositivos novos e solicitam ao menos para você confirmar a identidade por um código ou link que é enviado ao e-mail cadastrado, mas no passado isso não existia.

Assim que os primeiros mecanismos de 2FA foram implementados (era SMS ainda) eu aderi ao máximo de contas possíveis. Aí depois veio os golpes de clonagem de SIM.... desativei a verificação de SMS em tudo quanto é canto.
Atualmente utilizo só o autenthicator e em alguns casos uma key-hardware (instalada em pendrive) como mecanismo de proteção adicional.
Junto com o bitwarden para gerenciar minhas senhas super randômicas, me sinto "um pouco mais seguro" com minhas contas.

[TryNinja]

É um setting que vem por defeito com um valor muito baixo para um password manager de topo. Esse setting é o número de iterações recomendado pela OWASP de 310000 desde 2021 e o Bitwarde vem com apenas 100000 por defeito (KDF iterations).

Detalhe que é super trívial mudar isso. Eu também uso o Bitwarden e alterei os algoritimos de encriptação da minha chave para Argon2id com 4 iterações, 5 paralelos, e 96 MB de memória; tudo acima do recomendado. Dá para sentir a tristeza que um brute forcer iria sentir ao logar eu mesmo... tem um delay de uns 2 segundos antes da validação. Agora imagina alguém tentando milhões de combinações? rsrsrs.

[joker_josue]

Na real... eu usei muito serviços de lan-house, internet em bibliotecas públicas, escolas e demais computadores compartilhados, sem contar os casos de pishing, enfim sei muito bem o quão vulnerável é confiar apenas às senhas para manter a segurança de suas contas e já sofri pessoalmente desse mal mesmo utilizando senhas fortes.

Sim, esse cenário é onde vejo mais utilidade usar os esses autenticadores. Quem tendencialmente utiliza acesso a contas em computadores públicos.
Mas, quem usa esse tipo de computadores, é recomendado ter mais cuidados que simplesmente ter um sistema de dupla verificação.

[darkv0rt3x]

É um setting que vem por defeito com um valor muito baixo para um password manager de topo. Esse setting é o número de iterações recomendado pela OWASP de 310000 desde 2021 e o Bitwarde vem com apenas 100000 por defeito (KDF iterations).

Detalhe que é super trívial mudar isso. Eu também uso o Bitwarden e alterei os algoritimos de encriptação da minha chave para Argon2id com 4 iterações, 5 paralelos, e 96 MB de memória; tudo acima do recomendado. Dá para sentir a tristeza que um brute forcer iria sentir ao logar eu mesmo... tem um delay de uns 2 segundos antes da validação. Agora imagina alguém tentando milhões de combinações? rsrsrs.

Pois, a questão nem é alterar. É saber destes detalhes! Eu apenas soube porque li uma notícia que falava deste setting que vinha muito baixo por defeito e explicavam como alterar. E depois, isto só pode ser alterado no web site do Bitwardern. Não dá para alterar na app do telefone!

[Lucasgabd]

aproveitando o gancho
algum de vcs já teve problemas para atualizar um código 2FA num novo dispositivo?

para mim nunca aconteceu de perder um dispositivo com 2FA (oxalá!)
mas já tive que restaurar em outros devices e tive problema com isso, o código entrava mas gerava 6 digitos diferente do código correto
mesmo quando eu tinha certeza absoluta de ter digitado corretamente e feito o backup corretamente.

 

Provavelmente é um problema na sincronização do relógio
Veja se consegue entrar no app e achar a opção de sincronizar com o servidor

Eu também já tive esse problema e era só isso, depois que sincronizei não deu mais problema

bom palpite mas não é o caso
já tive esse problema antes mas na verdade é outra coisa

mesmo código de recuperação em dois aparelhos diferentes no mesmo horário gerando códigos de 6 dígitos diferentes

ninguém mais teve isso?

fiquei pensando sobre esse topico também
por aqui eu protejo minha conta google com unhas e dentes pq se perdê-la o 2FA seria um problema, claro, mas teria outros problemas gigantes para resolver.

[TryNinja]

bom palpite mas não é o caso
já tive esse problema antes mas na verdade é outra coisa

mesmo código de recuperação em dois aparelhos diferentes no mesmo horário gerando códigos de 6 dígitos diferentes

ninguém mais teve isso?

Se o código (para inserir o 2FA) realmente é o mesmo, então o único problema possível é que um dos dispositivos está dessincronizado (hora errada). O protocolo do TOTP, aquele 2FA de códigos aparecendo à cada X segundos, só tem duas váriaveis: hora + código.

[alegotardo]

Outra cena interessante neste capítulo é o Bitwarden. Um password manager que uso mas que também descoberta uma "falha de segurança" que pode comprometer a encriptação dos nossos dados na app. Pus "falha de segurança" entre aspas porque não é propriamente uma falha no source code ou algo do género. É um setting que vem por defeito com um valor muito baixo para um password manager de topo. Esse setting é o número de iterações recomendado pela OWASP de 310000 desde 2021 e o Bitwarde vem com apenas 100000 por defeito (KDF iterations).
https://1password.community/discussion/136293/1p-pbkdf2-iterations-are-less-than-recommended-by-owasp-please-do-better
https://bitwarden.com/help/what-encryption-is-used/

Eita!
Que dica valiosa, muito obrigado!

Eu fui verificar e de fato estava com a configuração de Iterações KDF em 100.000 então aumentie para 310.000 que você recomendou aí.
Antes eu fiz aquele backup de segurança (vai saber né... seu eu perco aquilo tô ferrado, meu último backup era bem antigo) e aí aumentei para 150.000 porque no segundo link eles recomendavam ir subindo aos poucos de 50k em 50k e testando em todos os dispositivos, mas como eu tenho ainda a verificação de 2FA do Google Autenticator, isso seria um tormento... coloquei logo os 310.000 e ainda ficou rapidão o processo de login no PC, Notebook e também celular.

Detalhe que é super trívial mudar isso. Eu também uso o Bitwarden e alterei os algoritimos de encriptação da minha chave para Argon2id com 4 iterações, 5 paralelos, e 96 MB de memória; tudo acima do recomendado. Dá para sentir a tristeza que um brute forcer iria sentir ao logar eu mesmo... tem um delay de uns 2 segundos antes da validação. Agora imagina alguém tentando milhões de combinações? rsrsrs.

Que absurdo! Pra que tudo isso? O que de tão crítico tu esconde aí?
Só espero que a sua senha mestra que mistura números, letras e símbolos não seja kwerty@123
Vai saber... as vezes as pessoas que são mais doidas da cabeça compensam deixam o trabalho todo pro computador.