Mais sobre a verificação em duas etapas do Google
A verificação em duas etapas (2SV), também conhecida como autenticação multifator (MFA) ou autenticação de dois fatores (2FA), funciona como uma segunda camada de segurança e exige que o usuário forneça duas informações para confirmar a identidade no momento do login. Além da senha da conta, é preciso usar um segundo método de verificação para concluir o acesso. Esse segundo fator pode ser uma chave de segurança (a opção mais segura), uma solicitação no Google Authenticator ou o recebimento de um código de verificação por ligação ou SMS (consideradas as opções menos seguras).
A mudança é um passo importante para reforçar a segurança das contas de Super Admin e dificultar a vida de quem tenta comprometê-las. Apesar de ser uma boa notícia para quem leva segurança a sério, ela pode trazer dor de cabeça para empresas que ainda precisam pensar em como proteger suas contas de serviço. Vale destacar que a mudança afeta apenas as contas de Super Admin: administradores delegados e usuários comuns não serão obrigados pelo Google a usar 2SV. Os Super Admins receberão notificações para ativar a verificação em duas etapas 60 dias antes da obrigatoriedade entrar em vigor, além de um lembrete para habilitar o 2SV até a data definida sempre que fizerem login nos serviços do Google. É essencial ficar de olho, porque essas notificações de login podem passar batido se as contas de Super Admin não forem usadas com frequência. Além disso, um aviso adicional será enviado por e-mail e SMS para os Super Admins 30 dias antes da obrigatoriedade.
Como verificar o status da verificação em duas etapas
Contas de serviço são, em alguns casos, usadas por aplicativos de terceiros para acessar recursos do Google Workspace. Se uma conta de serviço não tiver verificação em duas etapas ativada, ela fica exposta a ataques, o que pode resultar em acesso indevido a dados sensíveis ou até mesmo no controle de todo o domínio do Google Workspace.
Para evitar interrupções no serviço, os administradores do Google Workspace devem garantir que todas as contas de serviço de Super Admin estejam com o 2SV ativado. Para isso, basta acessar a página Menu > Relatórios > Relatórios de usuários > Segurança no Admin console. No topo do relatório, é possível aplicar o filtro "Status do administrador" para exibir apenas as contas de Super Admin.
Para cada conta de Super Admin, o administrador verá uma coluna chamada "Inscrição na verificação em duas etapas", que mostra o status de ativação do 2SV. Essa coluna indica se a conta está ou não inscrita no 2SV.
Seção Relatórios de usuários filtrada para exibir contas de Super Admin.
Correção e aplicação da verificação em duas etapas
Depois de identificar as contas de Super Admin que ainda não estão com a verificação em duas etapas do Google ativada, os administradores podem agir para aplicar a política de 2SV daqui pra frente. É só acessar a página Segurança > Verificação em duas etapas do Admin console para ver as políticas atuais. O plano de implementação ideal vai depender da estrutura de unidades organizacionais da empresa e do uso (ou não) de um provedor de identidade de terceiros para os usuários não administradores que acessam contas do Google Workspace. Uma estratégia bastante comum é adicionar todas as contas de Super Admin a um grupo dedicado e ativar a obrigatoriedade da verificação em duas etapas para esse grupo a partir de uma data futura definida. Com isso, qualquer conta incluída no grupo já com a nova política em vigor que ainda não tenha o 2SV ativado será solicitada pelo Google a se inscrever na verificação em duas etapas em cada novo login. Uma forma segura de lidar com a opção "Período de inscrição de novos usuários" é deixá-la definida como Nenhum e, em vez disso, orientar os administradores a configurar a verificação em duas etapas em qualquer conta nova antes de atribuir o papel de Super Admin.
Configurações de aplicação da política de verificação em duas etapas.
Além de ativar a verificação em duas etapas do Google nas contas de Super Admin, os administradores podem usar uma Senha de app única para integrações que não suportam a autenticação moderna OAuth2 (a já conhecida tela "Fazer login com o Google"). Isso reforça a segurança das contas de serviço e garante que a conta do Google continue protegida pela política de 2SV mesmo ao se conectar com aplicativos ou serviços legados.
Ao tomar essas medidas de forma proativa para garantir que todos os Super Admins estejam com a verificação em duas etapas ativada, os administradores fortalecem a segurança das contas e reduzem o risco de bloqueios e interrupções no serviço quando o Google colocar a política em vigor.