PayPal quer identificar cookies roubados

By | 27/02/2024

O PayPal diz ter criado um método que permite detectar cookies roubados que dispensam a necessidade de passwords e autenticação 2FA.

Os cookies de autenticação são aquilo que permite que um utilizador consiga aceder a um site sem estar continuamente a ser bombardeado com pedidos de autenticação, e são também um dos alvos preferenciais de hackers. Se um hacker se conseguir infiltrar num computador e roubar estes cookies, pode fazer-se passar pela vítima sem necessidade de saber a sua password ou de ter que enfrentar os sistemas de autenticação 2FA. Daí que haja grande interesse em qualquer sistema que permita identificar se se está a lidar com o utilizador legítimo ou com um atacante que está a usar cookies roubados.

É precisamente isso que o PayPal diz conseguir fazer, através de uma análise dos cookies nos diversos locais em que deveriam estar, e que permitem calcular um grau de risco para uma tentativa de acesso estar a ser feita usando cookies roubados.

Sendo um serviço que envolve dinheiro, facilmente se entende o desejo do PayPal em reforçar a segurança dos acessos. Tendo em conta o grau de risco, o serviço pode limitar certas operações ou exigir formas de autenticação adicionais.

De referir que o PayPal também já suporta Passkeys, que dispensam a necessidade do login tradicional via username e password e que se torna bastante mais seguro contra todos os tipos de ataque tradicionais. Ao longo deste ano é de esperar que o uso das passkeys se vá popularizando, e contribuindo para o fim das preocupações com o roubo de passwords.