Cientistas descobriram como detectar invasões de contas sem vigilância e divulgação de dados pessoais

Pesquisadores da Cornell Tech da Universidade Cornell (EUA) desenvolveram um mecanismo que ajuda a detectar invasões de contas sem sacrificar a privacidade dos usuários ou expor seus computadores a serviços da web.

Fonte da imagem: KeepCoding / unsplash.com

O sistema foi chamado de CSAL (Client-Side Encrypted Access Logging) e foi apresentado no Simpósio de Segurança USENIX. O sistema se baseia em um método de verificação que permite determinar se a conta foi realmente acessada a partir do dispositivo do usuário. Atualmente, grandes plataformas registram o acesso à conta em detrimento da privacidade do usuário.

Cientistas descobriram que os registros de acesso usados ​​hoje registram dados transmitidos pelo lado do cliente — identificadores de dispositivos e endereços IP que são fáceis de falsificar — e, mesmo depois que uma conta é hackeada, eles podem ser usados ​​para registrar que o login foi feito de um dispositivo conhecido pelo sistema.

O mecanismo CSAL oferece uma alternativa usando criptografia. Em vez de simplesmente enviar os dados fornecidos pelo cliente ao provedor de serviços, o sistema os protege com criptografia de ponta a ponta, utilizando uma chave conhecida apenas pelos dispositivos reais do cliente. Ao efetuar login na plataforma, o sistema operacional do cliente gera um token criptográfico contendo identificadores de dispositivo – os dados são criptografados e armazenados pelo provedor de serviços, e somente o usuário pode descriptografar e verificar a origem do login.

Isso permite que os usuários detectem acesso não autorizado às suas contas sem revelar informações de identificação. As plataformas também eliminam a necessidade de armazenar impressões digitais dos dispositivos, frequentemente usadas para rastreamento. O sistema é compatível com protocolos de segurança comuns e pode ser integrado a fluxos de trabalho existentes a um custo mínimo, de acordo com os criadores do CSAL. Eles descreveram esse mecanismo como uma oportunidade para equilibrar segurança e privacidade na gestão de contas digitais.