O Google acaba de anunciar um novo recurso de segurança que permite aos usuários do Android 7 e posteriores usarem seus smartphones para se autenticarem em suas Contas do Google.

O anúncio surpresa foi enterrado dentro de uma pilha de aprimoramentos revelados, na quarta-feira, durante o Google Cloud Next 2019, em San Francisco.

Lançado em versão beta, o recurso é projetado para proteger os usuários do Google contra ataques de phishing. Depois de ativado, o usuário faz login em sua Conta do Google usando seu nome de usuário e senha normalmente antes de autenticar que o smartphone inscrito está presente, clicando em uma mensagem que aparece na tela.

É idêntico, em princípio, ao uso de um token USB da FIDO, como o YubiKey (ou equivalente-chave do Google Titan lançado no ano passado), exceto que o próprio smartphone se torna o token.

Isso vence o phishing da mesma forma que um token, porque mesmo que os invasores consigam o nome de usuário e a senha do Google de alguém, eles não poderão acessar a conta sem ter o smartphone.

Requisitos

Para usar seu smartphone Android (os tablets ainda não têm suporte) como uma chave de segurança, é necessário ter um smartphone com a versão 7.x ou posterior do Android e você precisa ativar o Bluetooth.

Seu computador também deve ter Bluetooth e estar executando a versão mais recente do navegador Chrome, em um computador com Chrome OS, macOS X ou Windows.

Como ativar

Do blog de suporte do Google:

Etapa 1: adicione a chave de segurança à sua Conta do Google

1. Ative a verificação em duas etapas e adicione um método de verificação, como o Google Prompt. (Se você já usa a verificação em duas etapas, pode seguir em frente.)
2. No seu smartphone Android, acesse myaccount.google.com/security.
3. Em “Como fazer login no Google”, selecione Verificação em duas etapas. Talvez seja necessário fazer login.
4. Role para baixo até “Configurar um segundo passo alternativo”.
5. Selecione Adicionar chave de segurança e, em seguida, Seu telefone Android e, em seguida, Ativar.

Etapa 2: use a chave de segurança interna do seu smartphone Android

1. No seu computador, verifique se o Bluetooth está ativado nas suas configurações ou preferências.
2. No seu computador, faça login na sua Conta do Google com seu nome de usuário e senha.
3. Verifique se há uma notificação no seu smartphone Android.
4. No seu smartphone Android, toque duas vezes na notificação “Você está tentando fazer login?”.

Como funciona?

O blog do Google sobre o assunto é leve em detalhes técnicos, mas podemos assumir com confiança que este é o casamento previsto dos protocolos FIDO2 recentemente adicionados ao Android e o padrão mais amplo de autenticação WebAuthn.

Para simplificar, os navegadores que suportam o WebAuthn se comunicam de maneira segura com o servidor, neste caso, o Google, verificando sua autenticidade. O protocolo FIDO2, por sua vez, manipula a parte em que o computador e o smartphone se comunicam para verificar se o usuário tem o smartphone presente.

O segundo funciona usando o Client to Authenticator Protocol (CTAP) da FIDO2, que realiza a autenticação com o smartphone via Bluetooth.

Um relatório do evento também menciona algo chamado “Bluetooth Low Energy (CABLE) assistido pela nuvem”. Não está claro o que é isso, embora possa ser a próxima adição do Google ao padrão FIDO2, que adiciona verificações de segurança adicionais.

O que acontece se você perder ou não tiver seu smartphone? Nesse caso, você precisará ativar o aplicativo Autenticador como reserva ou ter uma chave de segurança (o YubiKey ou Titan) ou ter anotado os códigos de segurança de backup que o Google permite que você faça o download e imprima.

Com informações do blog Naked Security, da Sophos – uma parceira SdRedes.