Mal posso esperar para que esse novo recurso de segurança do Chrome decole

Por melhores que sejam as chaves de acesso e a autenticação de dois fatores, elas não podem impedir totalmente que alguém invada (e possivelmente roube) uma conta. Mas um novo recurso do Chrome deve tornar essa possibilidade muito mais difícil – desde que os operadores de sites comecem a utilizá-lo.

Chamada de “Credenciais de sessão vinculada ao dispositivo”, esta atualização tornou-se recentemente totalmente disponível na versão geral do Chrome. Ajuda a resolver um problema chamado sequestro de sessão, que os malfeitores exploram há muito tempo na web. Embora chaves de acesso, senhas fortes e 2FA forneçam a defesa necessária contra ataques de login (por exemplo, phishing e preenchimento de credenciais), elas se aplicam apenas ao processo de autenticação. Depois de fazer login e a sessão estar ativa, essas formas de segurança completaram seu trabalho. Eles não protegerão contra um hacker que copie os cookies que mantêm você conectado e os use para acessar sua conta (e possivelmente assumi-la).

Pense no padrão básico como semelhante à emissão de um passe de acesso total para um local. Você diz a eles quem você está na lista VIP e depois mostra seu documento de identidade com foto. A gerência presume que você nunca compartilhará o passe, por isso não traz sua foto. Enquanto isso, alguém sorrateiro passa, tira uma foto perfeita enquanto você segura o passe e depois mostra uma impressão para o segurança enquanto você já está dentro do prédio. Eles têm o mesmo acesso que você, e você não fica sabendo até que eles atualizem a identificação com foto no arquivo e você seja repentinamente expulso.

Uma maneira de impedir esses ataques de sequestro é vincular uma sessão ao dispositivo – ou seja, os cookies gerados para a sessão ativa funcionam apenas no PC ou telefone para o qual foram emitidos. Um hacker pode roubar os cookies o quanto quiser, mas o site não permitirá que eles entrem na sua conta porque as informações do dispositivo não correspondem entre o cookie e a máquina do sequestrador. Mas até agora, esta prática não foi difundida em websites de consumidores. No momento, o lançamento do Google de credenciais de sessão vinculadas ao dispositivo no Chrome funciona imediatamente para contas pessoais do Google e assinantes do Google Workplace, mas também oferece um método padronizado de implementação.

Dada a popularidade do Chrome, sua integração de cookies de sessão vinculados ao dispositivo provavelmente estimulará os desenvolvedores a adotar e implementar esse método de emissão de tokens de sessão. Obviamente, os usuários podem reduzir o risco de serem vítimas de sequestro de sessão aderindo a bons hábitos on-line, como instalar software e extensões conhecidos e confiáveis. Eles também podem verificar os endereços dos links antes de clicar e novamente antes de inserir as informações de login.

Mas hoje em dia, cautela nem sempre é suficiente. O sequestro de sessão pode acontecer de diferentes maneiras, como malware no seu PC instalado como um aplicativo ou extensão do navegador; scripts maliciosos em sites; e sites de phishing. As opções ficam ainda mais amplas quando um site menos seguro está envolvido. Os invasores podem usar métodos como espionar o tráfego não criptografado em redes públicas ou descobrir no sistema como os tokens de sessão são emitidos.

Caramba, você pode instalar um aplicativo ou extensão de navegador popular, verificado e confiável e ainda assim se tornar vítima de um ataque – software legítimo pode mais tarde se transformar em malware, devido ao desenvolvedor ser hackeado ou vendido para um malfeitor.

Portanto, mesmo seguir as melhores práticas não é garantia de segurança. E os usuários comuns não têm controle sobre o back-end dos sites. Estratégias como cookies de sessão vinculados a dispositivos são o tipo de proteção extra necessária para um mundo on-line cada vez mais caótico. Esperemos que os desenvolvedores estabeleçam esse padrão rapidamente.