La Google Authenticator را اپلیکیشن 2FA اخیراً به شدت در اخبار امنیت سایبری حضور پیدا کرده است، با افزودن ویژگی گوگل به شما امکان پشتیبانگیری از دادههای 2FA خود را در فضای ابری و سپس بازیابی آن در دستگاههای دیگر.
برای توضیح، یک 2FA (احراز هویت دو عامل) برنامه یکی از آن برنامههایی است که روی تلفن همراه یا رایانه لوحی خود اجرا میکنید تا کدهای ورود یکبارهای تولید کنید که به امنیت حسابهای آنلاین شما با چیزی بیش از یک رمز عبور کمک میکند.
مشکل رمزهای عبور معمولی این است که راه های زیادی وجود دارد که کلاهبرداران می توانند آنها را التماس کنند، سرقت کنند یا آنها را قرض بگیرند.
وجود دارد شانه سواریدر حالی که در حال تایپ کردن آن هستید، یک سرکش در میان شما از روی شانه شما نگاه می کند. وجود دارد حدس و گمان الهام گرفته شده، جایی که از عبارتی استفاده کرده اید که یک کلاهبردار می تواند بر اساس علایق شخصی شما پیش بینی کند. وجود دارد فیشینگ، جایی که شما فریب داده می شوید تا رمز عبور خود را به یک فرد متقلب تحویل دهید. و وجود دارد ورود به سیستم، جایی که بدافزاری که قبلاً در رایانه شما کار گذاشته شده است، آنچه را که تایپ می کنید ردیابی می کند و هر زمان که از وب سایتی دیدن می کنید که جالب به نظر می رسد مخفیانه شروع به ضبط می کند.
و از آنجا که رمزهای عبور معمولی معمولاً از ورود به سیستم یکسان می مانند، کلاهبردارانی که امروزه رمز عبور را پیدا می کنند اغلب می توانند به سادگی از آن در اوقات فراغت خود بارها و بارها استفاده کنند، اغلب برای هفته ها، شاید برای ماه ها، و گاهی اوقات حتی برای سال ها.
بنابراین برنامههای 2FA، با کدهای ورود یکباره خود، رمز عبور معمولی شما را با یک رمز اضافی، معمولاً یک عدد شش رقمی، که هر بار تغییر میکند، تقویت میکنند.
گوشی شما به عنوان عامل دوم
کدهای شش رقمی که معمولاً توسط برنامههای 2FA تولید میشوند، مستقیماً روی تلفن شما محاسبه میشوند، نه روی لپتاپ شما. آنها بر اساس یک "seed" یا "کلید شروع" هستند که در تلفن شما ذخیره شده است. و با کد قفل تلفن شما محافظت می شوند، نه با رمزهایی که به طور معمول در لپ تاپ خود تایپ می کنید.
به این ترتیب، کلاهبردارانی که التماس می کنند، وام می گیرند یا رمز عبور معمولی شما را می دزدند، نمی توانند به سادگی وارد حساب شما شوند.
این مهاجمان همچنین نیاز به دسترسی به تلفن شما دارند و باید بتوانند قفل گوشی شما را برای اجرای برنامه و دریافت کد یکبار مصرف باز کنند. (کدها معمولا بر اساس تاریخ و زمان با دقت نیم دقیقه هستند، بنابراین هر 30 ثانیه تغییر می کنند.)
بهتر از آن، تلفنهای مدرن شامل تراشههای ذخیرهسازی ایمن ضد دستکاری میشوند (اپل مال آنها را میخواند محفظه امن; گوگل به عنوان شناخته شده است تیتان) که اسرار خود را حفظ می کنند، حتی اگر بتوانید تراشه را جدا کنید و سعی کنید داده ها را به صورت آفلاین از طریق کاوشگرهای الکتریکی مینیاتوری یا با اچ شیمیایی همراه با میکروسکوپ الکترونی استخراج کنید.
البته، این «راهحل» یک مشکل خاص خود را به همراه دارد، یعنی: چگونه میتوانید از آن هستههای بسیار مهم 2FA نسخه پشتیبان تهیه کنید، در صورتی که گوشی خود را گم کنید، یا گوشی جدیدی بخرید و بخواهید به آن تغییر دهید؟
راه خطرناک برای پشتیبان گیری از دانه ها
اکثر سرویسهای آنلاین از شما میخواهند که با وارد کردن یک رشته 2 بایتی از دادههای تصادفی، یک دنباله کد 20FA را برای یک حساب جدید تنظیم کنید، که به معنای تایپ سخت 40 کاراکتر هگزادسیمال (پایه-16)، یکی برای هر نیم بایت، یا با وارد کردن دقیق 32 کاراکتر در کدگذاری پایه 32 که از کاراکترها استفاده می کند A
به Z
و شش رقمی 234567
(صفر و یک استفاده نمی شوند زیرا شبیه O-for-Oscar و I-for-India هستند).
با این تفاوت که معمولاً این شانس را دارید که با اسکن کردن در یک نوع URL خاص از طریق یک کد QR، از دردسر ضربه زدن دستی به راز شروع خود جلوگیری کنید.
این نشانیهای اینترنتی ویژه 2FA دارای نام حساب و دانه شروع هستند، مانند این (برای کوتاه نگه داشتن نشانی وب، تعداد را به 10 بایت یا 16 کاراکتر پایه 32 محدود کردیم):
احتمالاً می توانید حدس بزنید که این به کجا می رود.
هنگامی که دوربین تلفن همراه خود را برای اسکن کدهای 2FA از این نوع روشن می کنید، وسوسه انگیز است که ابتدا از کدها عکس بگیرید تا به عنوان پشتیبان استفاده کنید…
اما ما از شما میخواهیم که این کار را نکنید، زیرا هر کسی که بعداً آن عکسها را به دست میآورد (مثلاً از حساب ابری شما، یا به دلیل اینکه اشتباهاً آن را فوروارد کردهاید) به seed مخفی شما میشناسد و بهطور بیاهمیت میتواند درست را ایجاد کند. دنباله ای از کدهای شش رقمی
بنابراین، چگونه می توان از داده های 2FA خود به طور قابل اعتماد نسخه پشتیبان تهیه کرد بدون نگهداری نسخه های متن ساده از آن اسرار مزاحم چند بایتی؟
Google Authenticator روی کیس
خوب، Google Authenticator اخیراً، اگر با تأخیر، تصمیم به ارائه سرویس 2FA «همگامسازی حساب» کرد تا بتوانید دنبالههای کد 2FA خود را در فضای ابری پشتیبانگیری کنید و بعداً آنها را به دستگاه جدیدی بازیابی کنید، برای مثال اگر گم کنید یا جایگزین کنید. گوشی خود را.
به عنوان یک رسانه شرح داده شده آن، Google Authenticator پس از 13 سال یک ویژگی مهم و مورد انتظار را اضافه می کند.
اما انتقال داده همگامسازی این حساب چقدر ایمن انجام میشود؟
آیا داده های مخفی شما در حین انتقال به ابر Google رمزگذاری شده است؟
همانطور که می توانید تصور کنید، بخش آپلود ابری انتقال اسرار 2FA شما واقعاً رمزگذاری شده است، زیرا گوگل، مانند هر شرکتی که امنیت دارد، چندین سال است که از HTTPS-and-only-HTTPS برای تمام ترافیک مبتنی بر وب خود استفاده می کند. .
اما آیا می توان حساب های 2FA شما را با عبارت عبوری که منحصراً متعلق به شماست رمزگذاری کرد حتی قبل از اینکه دستگاه شما را ترک کنند?
به این ترتیب، نمی توان آنها را رهگیری کرد (چه به صورت قانونی یا غیرقانونی)، احضار کرد، درز کرد، یا زمانی که در فضای ذخیره سازی ابری هستند به سرقت رفت.
از این گذشته، روش دیگری برای گفتن "در فضای ابری" به سادگی "ذخیره در رایانه شخص دیگری" است.
حدس بزن چی شده؟
دوستان کدنویس مستقل و دعوای امنیت سایبری ما در @mysk_co، که قبلاً چندین بار در مورد امنیت برهنه نوشته بودیم، تصمیم گرفتیم به این موضوع پی ببریم.
چی آنها گزارش دادند به نظر خیلی دلگرم کننده نیست
گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.
TL;DR: آن را روشن نکنید.
بهروزرسانی جدید به کاربران امکان میدهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاههای iOS و Android خود همگامسازی کنند.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) آوریل 26، 2023
همانطور که در بالا می بینید، @mysk_co موارد زیر را ادعا کرد:
- جزئیات حساب 2FA شما، از جمله دانهها، در بستههای شبکه HTTPS آنها رمزگذاری نشده است. به عبارت دیگر، هنگامی که رمزگذاری در سطح حمل و نقل پس از رسیدن آپلود حذف شد، دانههای شما در دسترس Google قرار میگیرند، و بنابراین، به طور ضمنی، برای هر کسی که حکم جستجوی دادههای شما را دارد.
- هیچ گزینه عبارت عبوری برای رمزگذاری آپلود شما قبل از خروج از دستگاه شما وجود ندارد. همانطور که تیم @mysc_co اشاره می کند، این ویژگی هنگام همگام سازی اطلاعات از Google Chrome در دسترس است، بنابراین عجیب به نظر می رسد که فرآیند همگام سازی 2FA تجربه کاربری مشابهی را ارائه نمی دهد.
در اینجا URL ساخته شده ای است که آنها برای راه اندازی یک حساب 2FA جدید در برنامه Google Authenticator ایجاد کردند:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
و در اینجا بستهای از ترافیک شبکه است که Google Authenticator با ابر همگامسازی کرده و رمزگذاری امنیت سطح حملونقل (TLS) حذف شده است:
توجه داشته باشید که کاراکترهای هگزادسیمال برجسته شده با 10 بایت داده خام مطابق با "راز" پایه 32 در URL بالا مطابقت دارند:
$ luax Lua 5.4.5 حق چاپ (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ ماژول های مورد علاقه Duck را در package.preload اضافه کرد{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00
چه کاری انجام دهید؟
ما با پیشنهاد @mysk_co موافقیم که این است: توصیه می کنیم در حال حاضر از برنامه بدون ویژگی همگام سازی جدید استفاده کنید.
ما کاملا مطمئن هستیم که گوگل به زودی یک ویژگی رمز عبور را به ویژگی همگام سازی 2FA اضافه می کند، با توجه به این ویژگی همین الان هم وجود داره در مرورگر کروم، همانطور که در صفحات راهنمای خود کروم توضیح داده شده است:
اطلاعات خود را خصوصی نگه دارید
با یک عبارت عبور، میتوانید از ابر Google برای ذخیره و همگامسازی دادههای Chrome خود استفاده کنید بدون اینکه به Google اجازه دهید آنها را بخواند. […] عبارات عبور اختیاری هستند. دادههای همگامسازیشده شما همیشه با رمزگذاری هنگام انتقال محافظت میشوند.
اگر قبلا دانه های خود را همگام کرده اید، نترسید (آنها به گونه ای با Google به اشتراک گذاشته نشده اند که به راحتی می توانند آنها را جاسوسی کنند)، اما باید دنباله های 2FA را برای هر حسابی که اکنون به این نتیجه رسیده اید که احتمالاً باید برای خود نگه می داشتید بازنشانی کنید. .
به هر حال، ممکن است 2FA را برای سرویسهای آنلاینی مانند حسابهای بانکی راهاندازی کرده باشید که در آن شرایط و ضوابط شما را ملزم میکند که تمام اعتبارنامههای ورود به سیستم، از جمله رمز عبور و دانهها را برای خود نگه دارید و هرگز آنها را با کسی، حتی Google، به اشتراک نگذارید.
اگر به هر حال عادت دارید از کدهای QR برای دانه های 2FA خود عکس بگیرید، بدون اینکه زیاد در مورد آن فکر کنید، توصیه می کنیم این کار را نکنید.
همانطور که می خواهیم در مورد امنیت برهنه بگوییم: اگر شک دارید / آن را بیرون ندهید.
دادههایی که برای خود نگه میدارید نمیتوانند به بیرون درز کنند، یا دزدیده شوند، یا احضار شوند، یا بهطور عمدی یا اشتباهی با اشخاص ثالث به اشتراک گذاشته شوند.
به روز رسانی. گوگل در توییتر پاسخ داد به گزارش mysk_co@ با اعتراف به اینکه عمداً ویژگی همگام سازی حساب 2FA را بدون رمزگذاری به اصطلاح end-to-end (E2EE) منتشر کرده است، اما ادعا می کند که این شرکت "در نظر دارد E2EE را برای Google Authenticator ارائه دهد." این شرکت همچنین اعلام کرد که "گزینه استفاده آفلاین از برنامه برای کسانی که ترجیح می دهند استراتژی پشتیبان خود را مدیریت کنند، جایگزینی باقی خواهد ماند. [2023-04-26T18:37Z]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- 10
- 13
- 214
- 2F به
- 30
- 70
- a
- توانایی
- قادر
- درباره ما
- در مورد IT
- بالاتر
- مطلق
- دسترسی
- حساب
- حساب ها
- در میان
- اضافه کردن
- اضافه
- اضافه کردن
- اضافی
- می افزاید:
- پس از
- در برابر
- معرفی
- اجازه می دهد تا
- قبلا
- همچنین
- جایگزین
- همیشه
- an
- و
- اندروید
- دیگر
- هر
- هر کس
- نرم افزار
- اپل
- برنامه های
- هستند
- وارد می شود
- AS
- At
- نویسنده
- خودکار
- در دسترس
- اجتناب از
- به عقب
- تصویر پس زمینه
- پشتیبان گیری
- بانک
- حساب های بانکی
- پایه
- مستقر
- BE
- زیرا
- قبل از
- مرز
- امانت گرفتن
- پایین
- به ارمغان می آورد
- مرورگر
- اما
- خرید
- by
- محاسبه
- تماس ها
- دوربین
- CAN
- Осторожно
- مورد
- مرکز
- شانس
- تغییر دادن
- تبادل
- کاراکتر
- شیمیایی
- تراشه
- چیپس
- کروم
- مرورگر کروم
- ادعا کرد که
- ابر
- فضای ذخیره ابری
- رمز
- رنگ
- ترکیب شده
- عموما
- شرکت
- کامپیوتر
- شرایط
- معمولی
- حق چاپ
- دوره
- پوشش
- مجوزها و اعتبارات
- بحرانی
- امنیت سایبری
- خطرناک
- داده ها
- تاریخ
- تصمیم گیری
- مصمم
- جزئیات
- دستگاه
- دستگاه ها
- DIG
- رقم
- نمایش دادن
- do
- میکند
- نمی کند
- دان
- آیا
- پایین
- ساده
- هر دو
- دیگر
- دلگرم کننده
- رمزگذاری
- رمزگذاری
- پشت سر هم
- وارد شدن
- حتی
- هر
- مثال
- تجربه
- توضیح دهید
- توضیح داده شده
- ویژگی
- ویژه
- شکل
- پیدا کردن
- آتش
- نام خانوادگی
- پیروی
- برای
- به جلو
- دوستان
- از جانب
- تولید می کنند
- تولید
- دریافت کنید
- دادن
- داده
- رفتن
- گوگل
- گوگل کروم
- گوگل
- گرفتن
- آیا
- ارتفاع
- کمک
- اینجا کلیک نمایید
- برجسته
- نگه داشتن
- در تردید بودن
- چگونه
- HTTPS
- if
- تصور کنید
- in
- در دیگر
- شامل
- از جمله
- اطلاعات
- اطلاعات
- در عوض
- از قصد
- جالب
- منافع
- به
- IOS
- IT
- ITS
- پرش
- تنها
- نگاه داشتن
- نگهداری
- دانستن
- شناخته شده
- لپ تاپ
- بعد
- نشت
- ترک کردن
- اجازه
- اجازه دادن
- سطح
- پسندیدن
- محدود شده
- لاین
- ورود
- مدتها در انتظار
- نگاه کنيد
- شبیه
- مطالب
- از دست دادن
- باعث می شود
- نرم افزارهای مخرب
- مدیریت
- دستی
- حاشیه
- مسابقه
- حداکثر عرض
- ممکن است..
- به معنی
- رسانه ها
- میکروسکوپ
- اشتباه
- موبایل
- تلفن همراه
- مدرن
- ماژول ها
- ماه
- بیش
- بسیار
- بسیار مورد نیاز است
- امنیت برهنه
- نام
- از جمله
- نیاز
- شبکه
- ترافیک شبکه
- جدید
- اخبار
- نه
- طبیعی
- اکنون
- عدد
- متعدد
- of
- خاموش
- ارائه
- ارائه
- آنلاین نیست.
- غالبا
- on
- یک بار
- ONE
- آنلاین
- گزینه
- or
- دیگر
- خارج
- روی
- خود
- بسته
- بسته
- هراس
- بخش
- احزاب
- کلمه عبور
- کلمه عبور
- پل
- زیرچشمی نگاه می کند
- شاید
- شخصی
- تلفن
- گوشی های
- عکس
- تصاویر
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- موقعیت
- پست ها
- پیش بینی
- ترجیح می دهند
- زیبا
- شاید
- مشکل
- روند
- برنامه ها
- محفوظ
- کد QR
- کدهای qr
- تصادفی
- خام
- خواندن
- تازه
- توصیه
- ضبط
- منظم
- منتشر شد
- ماندن
- جایگزین کردن
- گزارش
- نیاز
- محققان
- بازیابی
- به طور معمول
- دویدن
- s
- با خیال راحت
- همان
- گفته
- اسکن
- پویش
- جستجو
- دوم
- ثانیه
- راز
- امن
- تیم امنیت لاتاری
- دیدن
- دانه
- دانه
- به نظر می رسد
- دنباله
- سرویس
- خدمات
- تنظیم
- چند
- اشتراک گذاری
- به اشتراک گذاشته شده
- کوتاه
- باید
- امضاء
- مشابه
- به سادگی
- شش
- ضربه محکم و ناگهانی
- جاسوس
- So
- جامد
- کسی
- صدا
- ویژه
- شروع
- شروع به ارائه
- راه افتادن
- شروع می شود
- اظهار داشت:
- ماندن
- به سرقت رفته
- ذخیره سازی
- opbevare
- ذخیره شده
- داستان
- راست
- استراتژی
- رشته
- به شدت
- چنین
- SVG
- گزینه
- قرص
- گرفتن
- ضد ضربه
- تیم
- قوانین و مقررات
- شرایط و ضوابط
- نسبت به
- که
- La
- خط
- شان
- آنها
- سپس
- آنجا.
- از این رو
- آنها
- تفکر
- سوم
- اشخاص ثالث
- این
- کسانی که
- زمان
- بار
- به
- امروز
- هم
- بالا
- مسیر
- ترافیک
- انتقال
- انتقال
- عبور
- انتقال
- شفاف
- حمل و نقل
- درست
- دور زدن
- توییتر
- نوع
- به طور معمول
- منحصر به فرد
- باز
- استفاده نشده
- بروزرسانی
- به روز شده
- URL
- استفاده کنید
- استفاده
- کاربر
- سابقه کاربر
- کاربران
- با استفاده از
- معمولا
- از طريق
- بازدید
- می خواهم
- حکم
- مسیر..
- راه
- we
- مبتنی بر وب
- سایت اینترنتی
- هفته
- بود
- چی
- چه زمانی
- هر زمان که
- چه
- که
- در حین
- WHO
- عرض
- اراده
- با
- بدون
- کلمات
- کتبی
- سال
- هنوز
- شما
- شما
- خودت
- زفیرنت
- صفر