. Google Authenticator 2FA rakendust on viimasel ajal küberjulgeoleku uudistes tugevalt esile tõstetud, kuna Google on lisanud funktsiooni, mis võimaldab teil oma 2FA-andmed pilve varundada ja seejärel teistesse seadmetesse taastada.
Selgituseks 2FA (kaheastmeline autentimine) rakendus on üks neist programmidest, mida kasutate oma mobiiltelefonis või tahvelarvutis, et luua ühekordseid sisselogimiskoode, mis aitavad teie veebikontosid kaitsta rohkem kui lihtsalt parooliga.
Tavaliste paroolide probleem seisneb selles, et kelmid saavad neid kerjata, varastada või laenata mitmel viisil.
Seal õlasurfamine, kus teie keskel olev kelm piilub üle teie õla, kui te seda sisestate; seal on inspireeritud oletustest, kus olete kasutanud fraasi, mida kelm võib teie isiklike huvide põhjal ennustada; seal on Phishing, kus teid meelitatakse oma parooli petisele üle andma; ja seal on keylogging, kus teie arvutisse juba siirdatud pahavara jälgib teie sisestatut ja hakkab salaja salvestama, kui külastate mõnda huvitavat veebisaiti.
Ja kuna tavapärased paroolid jäävad tavaliselt sisselogimisest kuni sisselogimiseni samaks, saavad kelmid, kes tänapäeval parooli välja mõtlevad, seda sageli oma vabal ajal ikka ja jälle kasutada, sageli nädalaid, võib-olla kuid ja mõnikord isegi aastaid.
Seega lisavad 2FA-rakendused oma ühekordsete sisselogimiskoodidega teie tavalist parooli täiendava salasõnaga, tavaliselt kuuekohalise numbriga, mis muutub iga kord.
Teie telefon kui teine tegur
Kuuekohalised koodid, mida 2FA-rakendused tavaliselt genereerivad, arvutatakse otse teie telefonis, mitte sülearvutis; need põhinevad teie telefoni salvestatud "seemnel" või "käivitusvõtmel"; ja neid kaitseb teie telefoni lukukood, mitte paroolid, mida tavaliselt sülearvutis sisestate.
Nii ei saa kelmid, kes kerjavad, laenavad või varastavad teie tavalist parooli, lihtsalt otse teie kontole hüpata.
Need ründajad vajavad ka juurdepääsu teie telefonile ning rakenduse käitamiseks ja ühekordse koodi hankimiseks peavad neil olema võimalik teie telefon avada. (Koodid põhinevad tavaliselt kuupäeval ja kellaajal lähima poole minuti täpsusega, seega muutuvad need iga 30 sekundi järel.)
Veelgi parem, kaasaegsed telefonid sisaldavad võltsimiskindlaid turvalisi salvestuskiipe (Apple nimetab oma Turvaline enklaav; Google on tuntud kui Titan), mis hoiavad oma saladusi isegi siis, kui teil õnnestub kiip lahti võtta ja proovida sealt andmeid võrguühenduseta välja kaevata miniatuursete elektrisondide või keemilise söövitamise ja elektronmikroskoopia abil.
Muidugi toob see "lahendus" endaga kaasa omaette probleemi, nimelt: kuidas varundada neid ülitähtsaid 2FA seemneid juhuks, kui telefoni kaotate või ostate uue ja soovite sellele üle minna?
Ohtlik viis seemnete varundamiseks
Enamik võrguteenuseid nõuavad uue konto jaoks 2FA koodijada seadistamist, sisestades 20-baidise juhuslike andmete stringi, mis tähendab vaevarikast 40 kuueteistkümnendsüsteemi (baas-16) tähemärgi sisestamist, üks iga poolebaidi kohta või sisestades ettevaatlikult 32 tähemärki base-32 kodeeringus, mis kasutab märke A
et Z
ja kuus numbrit 234567
(null ja üks on kasutamata, sest näevad välja nagu O-Oscar ja I-India).
Välja arvatud see, et tavaliselt saate vältida oma algsaladuse käsitsi koputamist, skannides selle asemel QR-koodi abil spetsiaalse URL-i.
Nendel spetsiaalsetel 2FA URL-idel on konto nimi ja algusseeme sisse kodeeritud järgmiselt (URL-i lühikeseks hoidmiseks piirasime siin seemne pikkust 10 baidiga või 16 põhi-32 tähemärgiga):
Tõenäoliselt võite arvata, kuhu see läheb.
Kui käivitate oma mobiiltelefoni kaamera, et skaneerida seda tüüpi 2FA-koode, on kiusatus esmalt koodidest foto teha, et kasutada neid varukoopiana...
…aga me soovitame teil seda mitte teha, sest igaüks, kes saab need pildid hiljem kätte (näiteks teie pilvekontolt või siis, kui olete selle kogemata edasi saatnud), teab teie salajase seemne ja saab triviaalselt selle õige luua. kuuekohaliste koodide jada.
Kuidas seega oma 2FA andmeid usaldusväärselt varundada ilma tavateksti koopiaid hoidmata nendest tüütutest mitmebaidistest saladustest?
Google Authenticator juhtumi kohta
Noh, Google Authenticator otsustas hiljuti, kui hilinemisega, hakata pakkuma 2FA konto sünkroonimise teenust, et saaksite oma 2FA koodijadad pilve varundada ja hiljem uude seadmesse taastada, näiteks kui kaotate või asendate. sinu telefon.
Nagu üks meediaväljaanne kirjeldatud see, "Google Authenticator lisab 13 aasta pärast kriitilise kauaoodatud funktsiooni."
Aga kui turvaliselt see konto sünkroonimise andmeedastus toimub?
Kas teie salajased algandmed on Google'i pilve edastamisel krüptitud?
Nagu võite ette kujutada, on teie 2FA saladuste edastamise pilve üleslaadimise osa tõepoolest krüpteeritud, sest Google, nagu iga turvateadlik ettevõte seal, on juba mitu aastat kasutanud kogu oma veebipõhise liikluse jaoks HTTPS-i ja ainult HTTPS-i. .
Kuid kas teie 2FA kontosid saab krüpteerida ainult teile kuuluva paroolifraasiga enne kui nad teie seadmest lahkuvad?
Nii ei saa neid pilvesalvestuses (seaduslikult või mitte) pealt kinni pidada, kohtusse kutsuda, lekkida ega varastada.
Lõppude lõpuks on teine viis "pilves" öelda lihtsalt "salvestatud kellegi teise arvutisse".
Arva ära?
Meie indie-kodeerijad ja küberjulgeolekuga tegelevad sõbrad aadressil @mysk_co, kellest oleme alasti turvalisuses korduvalt kirjutanud, otsustas selle välja uurida.
M teatasid nad ei kõla eriti julgustavalt.
Google on just värskendanud oma rakendust 2FA Authenticator ja lisanud väga vajaliku funktsiooni: võimaluse seadmete vahel saladusi sünkroonida.
TL;DR: ära lülita seda sisse.
Uus värskendus võimaldab kasutajatel sisse logida oma Google'i kontoga ja sünkroonida 2FA saladusi oma iOS- ja Android-seadmetes.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) Aprill 26, 2023
Nagu ülalpool näete, väitis @mysk_co järgmist:
- Teie 2FA konto üksikasjad, sealhulgas seemned, olid nende HTTPS-i võrgupakettides krüptimata. Teisisõnu, kui transporditaseme krüpteering on pärast üleslaadimise saabumist eemaldatud, on teie seemned saadaval Google'ile ja seega kaudselt kõigile, kellel on teie andmete läbiotsimismäärus.
- Üleslaadimise krüpteerimiseks enne seadmest lahkumist pole paroolivalikut. Nagu @mysc_co meeskond märgib, on see funktsioon saadaval Google Chrome'i teabe sünkroonimisel, seega tundub kummaline, et 2FA sünkroonimisprotsess ei paku sarnast kasutajakogemust.
Siin on väljamõeldud URL, mille nad lõid Google Authenticatori rakenduses uue 2FA konto seadistamiseks:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Ja siin on võrguliikluse pakettaknad, mille Google Authenticator sünkroonis pilvega, ilma transporditaseme turvalisuse (TLS) krüptimisega:
Pange tähele, et esiletõstetud kuueteistkümnendmärgid vastavad töötlemata 10 baidile andmetele, mis vastavad ülalolevas URL-is olevale 32-aluselisele "salajastele":
$ luax Lua 5.4.5 Autoriõigus (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Lisati Ducki lemmikmoodulid paketti package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(worseed) F4316E3FCAB00A6152
Mida teha?
Nõustume @mysk_co soovitusega, mis on "Soovitame praegu kasutada rakendust ilma uue sünkroonimisfunktsioonita."
Oleme üsna kindlad, et Google lisab peagi 2FA sünkroonimisfunktsioonile paroolifunktsiooni, kuna see funktsioon juba eksisteerib Chrome'i brauseris, nagu on selgitatud Chrome'i enda abilehtedel:
Hoidke oma teave privaatsena
Paroolifraasi abil saate oma Chrome'i andmete salvestamiseks ja sünkroonimiseks kasutada Google'i pilve, ilma et laseksite Google'il neid lugeda. […] Paroolid on valikulised. Teie sünkroonitud andmed on edastamisel alati krüpteerimisega kaitstud.
Kui olete oma seemned juba sünkrooninud, ärge sattuge paanikasse (neid ei jagatud Google'iga nii, et kellelgi teisel oleks lihtne neid välja nuhkida), kuid peate lähtestama 2FA jadad kõigi kontode jaoks, mille puhul olete nüüd otsustanud, et oleksite pidanud ilmselt omaette hoidma .
Lõppude lõpuks võib teil olla seadistatud 2FA selliste võrguteenuste jaoks, nagu pangakontod, mille nõuete ja tingimuste kohaselt peate hoidma kõik sisselogimismandaadid, sealhulgas paroolid ja seemned, ning mitte kunagi jagama neid kellegagi, isegi mitte Google'iga.
Kui teil on nagunii kombeks oma 2FA seemnete jaoks QR-koodidest pilte teha, sellele liiga palju mõtlemata soovitame seda mitte teha.
Nagu meile meeldib alasti turvalisuse kohta öelda: Kui kahtled / ära anna välja.
Andmed, mida hoiate enda teada, ei tohi tahtlikult ega kogemata lekkida, neid varastada, kohtusse kutsuda või kolmandate osapooltega edasi jagada.
Update. Google on vastas Twitteris @mysk_co raportile, tunnistades, et ta andis tahtlikult välja 2FA konto sünkroonimise funktsiooni ilma niinimetatud täieliku krüptimiseta (E2EE), kuid väitis, et ettevõte on "plaanib Google Authenticatori jaoks pakkuda E2EE-d." Ettevõte teatas ka, et "võimalus kasutada rakendust võrguühenduseta jääb alternatiiviks neile, kes eelistavad oma varundusstrateegiat ise hallata. [2023-04-26T18:37Z]
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- võime
- Võimalik
- MEIST
- sellest
- üle
- absoluutne
- juurdepääs
- konto
- Kontod
- üle
- lisama
- lisatud
- lisades
- Täiendavad lisad
- Lisab
- pärast
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- juba
- Ka
- alternatiiv
- alati
- an
- ja
- android
- Teine
- mistahes
- keegi
- app
- õun
- apps
- OLEME
- Saabuvad
- AS
- At
- autor
- auto
- saadaval
- vältima
- tagasi
- background-image
- Varundamine
- Pank
- pangakontod
- baas
- põhineb
- BE
- sest
- enne
- piir
- laenama
- põhi
- Toob
- brauseri
- kuid
- ostma
- by
- arvutatud
- Kutsub
- kaamera
- CAN
- hoolikalt
- juhul
- keskus
- võimalus
- muutma
- Vaidluste lahendamine
- märki
- keemiline
- kiip
- laastud
- Kroom
- kroomitud brauser
- väitis
- Cloud
- Cloud Storage
- kood
- värv
- kombineeritud
- tavaliselt
- ettevõte
- arvuti
- Tingimused
- tavaline
- autoriõigus
- Kursus
- cover
- volikiri
- kriitiline
- Küberturvalisus
- Ohtlik
- andmed
- kuupäev
- otsustama
- otsustatud
- detailid
- seade
- seadmed
- DIG
- numbrit
- Ekraan
- do
- ei
- Ei tee
- don
- Ära
- alla
- lihtne
- kumbki
- Muidu
- julgustav
- krüpteeritud
- krüpteerimist
- Lõpuks-lõpuni
- Sisse
- Isegi
- Iga
- näide
- kogemus
- Selgitama
- selgitas
- tunnusjoon
- Objekte
- Joonis
- leidma
- Tulekahju
- esimene
- Järel
- eest
- edasi
- sõbrad
- Alates
- tekitama
- loodud
- saama
- Andma
- antud
- läheb
- Google Chrome
- rüütama
- Olema
- kõrgus
- aitama
- siin
- Esiletõstetud
- hoidma
- hõljuma
- Kuidas
- HTTPS
- if
- kujutage ette
- in
- Teistes
- sisaldama
- Kaasa arvatud
- info
- info
- selle asemel
- tahtlikult
- huvitav
- el
- sisse
- iOS
- IT
- ITS
- hüppama
- lihtsalt
- hoidma
- pidamine
- Teadma
- teatud
- sülearvuti
- pärast
- lekkima
- Lahkuma
- laskma
- väljaüürimine
- Tase
- nagu
- piiratud
- joon
- Logi sisse
- kauaoodatud
- Vaata
- näeb välja
- välimus
- kaotama
- TEEB
- malware
- juhtima
- käsitsi
- Varu
- Vastama
- max laiuse
- mai..
- vahendid
- Meedia
- Mikroskoopia
- viga
- mobiilne
- mobiiltelefon
- Kaasaegne
- Moodulid
- kuu
- rohkem
- palju
- väga vajalik
- Alasti turvalisus
- nimi
- nimelt
- Vajadus
- võrk
- võrguliiklus
- Uus
- uudised
- ei
- normaalne
- nüüd
- number
- arvukad
- of
- maha
- pakkuma
- pakkumine
- offline
- sageli
- on
- kunagi
- ONE
- Internetis
- valik
- or
- Muu
- välja
- üle
- enda
- pakend
- paketid
- Paanika
- osa
- isikutele
- Parool
- paroolid
- Paul
- piilub
- ehk
- isiklik
- telefon
- telefonid
- Fotod
- Pildid
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- positsioon
- Postitusi
- ennustada
- eelistama
- ilus
- tõenäoliselt
- Probleem
- protsess
- Programmid
- kaitstud
- QR kood
- qr-koodid
- juhuslik
- Töötlemata
- Lugenud
- hiljuti
- soovitama
- salvestamine
- regulaarne
- vabastatud
- jääma
- asendama
- aru
- nõudma
- Teadlased
- taastama
- regulaarselt
- jooks
- s
- ohutult
- sama
- ütlus
- skaneerida
- skaneerimine
- Otsing
- Teine
- sekundit
- Saladus
- kindlustama
- turvalisus
- vaata
- seeme
- seemned
- tundub
- Jada
- teenus
- Teenused
- komplekt
- mitu
- Jaga
- jagatud
- Lühike
- peaks
- kirjutama
- sarnane
- lihtsalt
- SIX
- Tõmme
- Nuhkima
- So
- tahke
- Keegi
- heli
- eriline
- algus
- pakkuma hakata
- Käivitus
- algab
- väljendatud
- jääma
- varastatud
- ladustamine
- salvestada
- ladustatud
- Lood
- otse
- Strateegia
- nöör
- tugevalt
- selline
- SVG
- Lüliti
- Tablett
- Võtma
- võltsimiskindel
- meeskond
- tingimused
- tingimused
- kui
- et
- .
- JOON
- oma
- Neile
- SIIS
- Seal.
- seetõttu
- nad
- Mõtlemine
- Kolmas
- kolmandad isikud
- see
- need
- aeg
- korda
- et
- täna
- liiga
- ülemine
- jälgida
- liiklus
- üle
- Ülekanne
- transiit
- üleminek
- läbipaistev
- transportida
- tõsi
- Pöörake
- puperdama
- tüüp
- tüüpiliselt
- ainulaadselt
- avamine
- kasutamata
- Värskendused
- ajakohastatud
- URL
- kasutama
- Kasutatud
- Kasutaja
- User Experience
- Kasutajad
- kasutamine
- tavaliselt
- kaudu
- visiit
- tahan
- Käsk
- Tee..
- kuidas
- we
- Veebipõhine
- veebisait
- nädalat
- olid
- M
- millal
- millal iganes
- kas
- mis
- kuigi
- WHO
- laius
- will
- koos
- ilma
- sõnad
- kirjalik
- aastat
- veel
- sa
- Sinu
- ise
- sephyrnet
- null