Notícias

22 nov, 2023

Investigação ESET: login com Google ou Facebook pode apresentar riscos

Publicidade

Investigação ESET: login com Google ou o Facebook pode apresentar riscos

A ESET apresenta os prós e contras de se registrar e fazer login em diferentes contas com as credenciais do Facebook ou do Google, e o que deve ser observado em relação à segurança da informação

Muitos sites permitem iniciar sessão com a conta do Facebook, Google, Microsoft, LinkedIn, Apple ou outra conta de uma grande empresa de tecnologia. “Continuar com o Google”, por exemplo, é uma forma muito simples de se registrar e fazer login em sites ou aplicativos, onde tudo o que precisa ser feito é clicar em um botão e permitir que alguns dos dados pessoais da conta sejam compartilhados com o serviço online de terceiros.

Quando o usuário vincula um acesso ao Google a outro serviço, está autorizando a empresa a compartilhar informações pessoais em troca de facilidade de acesso e conveniência. Para ajudar a encontrar um equilíbrio entre segurança e conveniência, a ESET, líder em detecção proativa de ameaças, analisa os prós e contras do uso desse método de autenticação chamado de “início de sessão único” (SSO), também conhecido como “início de sessão social”.

Figura 1. Exemplo de opções de SSO para fazer login ou criar uma conta.
Figura 2. Mais opções de SSO.

 Login com Google ou Facebook

O SSO (Single Sign-On) é um esquema de autenticação que permite a uma organização obter acesso consentido às informações pessoais de um usuário, ao mesmo tempo em que permite o registro e login nos serviços, em vez de exigir um registro por meio de um formulário independente. Algumas de suas vantagens são:

  • Facilidade de registro e acesso: em vez de ter que preencher outro formulário com nome, sobrenome, número de telefone ou endereço de e-mail, basta clicar na opção SSO e compartilhar esses dados (e possivelmente outros) com o aplicativo ou site. A senha nunca é compartilhada com o site, mas sim que a identidade é verificada por meio de um token de autenticação.
  • Atração e captação de usuários: os serviços online entendem que quanto mais fácil for se registrar e fazer login, maior a probabilidade de o usuário avançar e retornar.
  • Fim do desafio de criar novas senhas: os sites têm diferentes requisitos de senhas; além disso, uma combinação única de nome de usuário e senha deve ser usada a cada vez. A implementação do SSO estabelece uma senha segura, e com apenas uma das grandes plataformas da Internet, é possível acessar centenas de outros sites, reduzindo o número de senhas que precisam ser criadas e memorizadas.
  • Senhas fortes e bem protegidas: a necessidade de lembrar apenas a senha de uma conta, como a do Google, e proteger adequadamente essa conta pode diminuir a dependência de gerar e confiar em uma extensa lista de senhas mal protegidas.

Embora o SSO ofereça algumas vantagens significativas para o usuário, também há riscos que seu uso poderia representar:

  • Todos os ovos estão na mesma cesta: se as credenciais do Facebook ou do Google caírem nas mãos erradas, os cibercriminosos não terão apenas acesso a essa conta, mas também a todos os sites aos quais ela está vinculada.
  • Proteger a conta principal “como se sua vida dependesse disso”: uma senha segura – talvez na forma de uma frase que misture maiúsculas, minúsculas e números – pode ser crucial para proteger as contas e dados pessoais. Se, por algum motivo, o usuário não estiver usando um gerenciador de senhas que auxilie na criação, é útil escolher uma parte da senha em um formato que permita adicionar o nome do site, mas sem que toda a cadeia seja muito previsível.
  • Questões de privacidade: ao vincular contas, está permitindo que informações pessoais sejam transmitidas ao site e, devido à facilidade de configuração, pode estar consentindo a transferência de mais informações do que o esperado. Embora o Facebook, o Google, a Microsoft ou a Apple permitam verificar todas as conexões com terceiros, revogar o acesso não significa que também esteja revogando o consentimento do site para usar os dados.
Figura 3. Revogação do consentimento para o Google vincular seus dados.
  • Atração e captação de usuários (e as implicações para a pegada digital): ao se registrar em aplicativos ou sites que não são utilizados com frequência, é fácil esquecer sua existência ou login. Para evitar isso, é melhor manter um registro de todos os sites nos quais o usuário faz login das informações pessoais que são armazenadas lá; por exemplo, as informações do cartão de crédito podem estar armazenadas em um site que tenha sido utilizado apenas uma vez.

“Quando combinados com outras medidas de segurança e privacidade, os logins sociais podem economizar muito tempo. No entanto, no caso de sites que armazenam suas informações pessoais, como nome completo, endereço, dados bancários ou números de cartão de crédito, é mais seguro optar por uma conta independente protegida por uma senha complexa e única, juntamente com a autenticação de dois fatores (2FA)”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET na América Latina.

SSO

Em resumo, o uso do SSO é recomendado apenas se:

  • autenticação de dois fatores (2FA) estiver habilitada na conta principal, pois isso tornará mais difícil para alguém se passar pelo usuário na internet.
  • Confiar na plataforma que está sendo usada para acessar o outro site; no entanto, a confiança é algo volátil e outras precauções devem ser tomadas.
  • Utilizar serviços de pagamento como PayPal ou um cartão de crédito virtual como opções de pagamento para qualquer site acessado usando SSO; isso ajudará a evitar que dados bancários sejam comprometidos.
  • Utilizar as configurações da conta principal para acompanhar todos os sites aos quais ela está vinculada.
Figura 4. Gerenciamento de aplicativos de terceiros e autorizações de SSO no Google.

Existem outras formas de acessar contas online e mantê-las seguras, além dos logins sociais. Uma opção, segundo a ESET, é criar uma conta independente para cada serviço e usar um gerenciador de senhas que evita a criação, gerenciamento e preenchimento automático das credenciais de login. Outra opção é usar um endereço de e-mail descartável, especialmente para sites que não são de grande interesse ou que não se pretende usar novamente. Além disso, alguns governos criaram uma identificação única de cidadão que concede às pessoas acesso online a serviços oferecidos por algumas organizações públicas e privadas.

“Seja qual for o método escolher, o usuário poderá desfrutar de sua presença na internet sem muitos problemas (ou pressa) sempre que seguir as práticas gerais de ciber-higiene, como evitar revelar suas credenciais, ativar o 2FA e estar ciente de toda a sua pegada digital“, concluí Gutiérrez Amaya da ESET América Latina.

Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.