- Google Authenticator 2FA-sovellus on ollut vahvasti esillä kyberturvallisuusuutisissa viime aikoina, ja Google on lisännyt ominaisuuden, jonka avulla voit varmuuskopioida 2FA-tietosi pilveen ja palauttaa ne sitten muille laitteille.
Selittääkseni 2FA (kaksitasoinen todentaminen) -sovellus on yksi niistä ohjelmista, joita käytät matkapuhelimellasi tai tablet-laitteellasi ja luot kertaluonteisia kirjautumiskoodeja, jotka auttavat suojaamaan verkkotilisi muullakin kuin pelkällä salasanalla.
Perinteisten salasanojen ongelmana on, että roistot voivat kerjätä, varastaa tai lainata niitä useilla tavoilla.
Ei olkapäässä surffausta, jossa keskelläsi oleva roisto kurkistaa olkapääsi yli, kun kirjoitat sitä; siellä on inspiroitunut arvaus, jossa olet käyttänyt lausetta, jonka roisto voi ennustaa henkilökohtaisten etujesi perusteella; siellä on Phishing, jossa sinut houkutellaan luovuttamaan salasanasi huijareille; ja siellä on keylogging, jossa tietokoneellesi jo istutetut haittaohjelmat seuraavat kirjoittamaasi ja alkavat salaa tallentaa aina, kun vierailet mielenkiintoiselta näyttävällä verkkosivustolla.
Ja koska perinteiset salasanat pysyvät tyypillisesti samoina kirjautumisesta sisäänkirjautumiseen, huijarit, jotka keksivät salasanan nykyään, voivat usein vain käyttää sitä yhä uudelleen rauhassa, usein viikkoja, ehkä kuukausia ja joskus jopa vuosia.
Joten 2FA-sovellukset kertakirjautumiskoodeineen täydentävät tavallista salasanaasi ylimääräisellä salaisuudella, yleensä kuusinumeroisella numerolla, joka muuttuu joka kerta.
Puhelimesi toisena tekijänä
2FA-sovellusten yleisesti luomat kuusinumeroiset koodit lasketaan suoraan puhelimeesi, ei kannettavaan tietokoneeseen. ne perustuvat "siemen" tai "käynnistysavaimeen", joka on tallennettu puhelimeesi; ja ne on suojattu puhelimesi lukituskoodilla, ei millään salasanoilla, joita kirjoitat rutiininomaisesti kannettavaan tietokoneeseen.
Tällä tavalla roistot, jotka kerjäävät, lainaavat tai varastavat tavallista salasanaasi, eivät voi vain hypätä suoraan tilillesi.
Nämä hyökkääjät tarvitsevat myös pääsyn puhelimeesi, ja heidän on voitava avata puhelimesi lukitus suorittaakseen sovelluksen ja saada kertaluonteisen koodin. (Koodit perustuvat yleensä päivämäärään ja kellonaikaan lähimpään puoleen minuuttiin, joten ne vaihtuvat 30 sekunnin välein.)
Vielä parempi, nykyaikaiset puhelimet sisältävät väärentämisen estäviä suojattuja tallennussiruja (Apple kutsuu omiaan Suojattu erillisalue; Googlen tunnetaan nimellä Jättiläinen), jotka pitävät salaisuutensa, vaikka onnistuisit irrottamaan sirun ja yrittämään kaivaa siitä tietoa offline-tilassa pienoiskoettimien tai kemiallisen syövytyksen ja elektronimikroskopian avulla.
Tietenkin tämä "ratkaisu" tuo mukanaan oman ongelmansa, nimittäin: kuinka varmuuskopioit ne kaikki tärkeät 2FA-siemenet, jos menetät puhelimesi tai ostat uuden ja haluat vaihtaa siihen?
Vaarallinen tapa varmuuskopioida siemeniä
Useimmat verkkopalvelut edellyttävät, että sinun on määritettävä 2FA-koodisarja uudelle tilille syöttämällä 20-tavuinen satunnaisten tietojen merkkijono, mikä tarkoittaa työlästä kirjoittamista joko 40 heksadesimaalimerkkiä (kanta-16), yksi jokaista puolitavua kohti tai syöttämällä huolellisesti 32 merkkiä base-32-koodauksella, joka käyttää merkkejä A
että Z
ja kuusi numeroa 234567
(nolla ja yksi ovat käyttämättömiä, koska ne näyttävät O-Oscarilta ja I-Intialta).
Paitsi, että saat yleensä mahdollisuuden välttää aloitussalaisuutesi manuaalisen napauttelun vaivaa skannaamalla sen sijaan erityisen URL-osoitteen QR-koodin avulla.
Näissä erityisissä 2FA-URL-osoitteissa on tilin nimi ja alkusiemen koodattuina näin (rajoitimme siemen tässä 10 tavuun tai 16 perus-32 merkkiin, jotta URL-osoite pysyy lyhyenä):
Voitte varmaan arvata mihin tämä on menossa.
Kun käynnistät matkapuhelimen kameran skannaamaan tällaisia 2FA-koodeja, on houkuttelevaa ottaa ensin kuva koodeista käyttääksesi niitä varmuuskopiona…
…mutta kehotamme sinua olemaan tekemättä sitä, koska jokainen, joka saa nämä kuvat myöhemmin käsiinsä (esimerkiksi pilvitililtäsi tai koska lähetät sen vahingossa), tietää salaisen siemenesi ja pystyy triviaalisti luomaan oikean kuusinumeroisten koodien sarja.
Kuinka siis varmuuskopioida 2FA-tietosi luotettavasti ilman pelkkätekstikopioiden säilyttämistä noista ärsyttävistä monitavuisista salaisuuksista?
Google Authenticator tapauksesta
No, Google Authenticator päätti äskettäin, jos myöhässä, alkaa tarjota 2FA-tilin synkronointipalvelua, jotta voit varmuuskopioida 2FA-koodisarjasi pilveen ja palauttaa ne myöhemmin uudelle laitteelle, esimerkiksi jos kadotat tai vaihdat. puhelimesi.
Yhtenä tiedotusvälineenä on kuvattu se, "Google Authenticator lisää tärkeän kauan odotetun ominaisuuden 13 vuoden jälkeen."
Mutta kuinka turvallisesti tämä tilin synkronoinnin tiedonsiirto tapahtuu?
Onko salainen siementietosi salattu siirrettäessä Googlen pilveen?
Kuten voit kuvitella, 2FA-salaisuuksien siirtämisen pilvilatausosa on todellakin salattu, koska Google, kuten jokainen turvallisuustietoinen yritys, on käyttänyt HTTPS-ja vain HTTPS:ää kaikessa verkkoliikenteessään jo useiden vuosien ajan. .
Mutta voidaanko 2FA-tilisi salata tunnuslauseella, joka on ainutlaatuisesti sinun? ennen kuin he edes poistuvat laitteestasi?
Tällä tavalla niitä ei voida siepata (laillisesti tai ei), haastaa, vuotaa tai varastaa, kun ne ovat pilvitallennustilassa.
Loppujen lopuksi toinen tapa sanoa "pilvessä" on yksinkertaisesti "tallennettu jonkun muun tietokoneelle".
Arvaa mitä?
Indie-koodaajien ja kyberturvallisuudesta kiistelevät ystävämme osoitteessa @mysk_co, josta olemme kirjoittaneet useita kertoja aiemmin Naked Securityssa, päätti ottaa asian selville.
Mitä he ilmoittivat ei kuulosta kauhean rohkaisevalta.
Google on juuri päivittänyt 2FA Authenticator -sovelluksensa ja lisännyt kaivatun ominaisuuden: mahdollisuuden synkronoida salaisuudet laitteiden välillä.
TL;DR: Älä kytke sitä päälle.
Uuden päivityksen avulla käyttäjät voivat kirjautua sisään Google-tilillään ja synkronoida 2FA-salaisuuksia iOS- ja Android-laitteidensa välillä.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) Huhtikuu 26, 2023
Kuten yllä näet, @mysk_co vaati seuraavaa:
- 2FA-tilisi tiedot, mukaan lukien siemenet, olivat salaamattomia HTTPS-verkkopakettien sisällä. Toisin sanoen, kun siirtotason salaus on poistettu latauksen saapumisen jälkeen, siemenesi ovat Googlen ja siten implisiittisesti kaikkien saatavilla, joilla on hakulupa tiedoillesi.
- Latausta ei voi salata ennen kuin se lähtee laitteeltasi. Kuten @mysc_co-tiimi huomauttaa, tämä ominaisuus on käytettävissä synkronoitaessa tietoja Google Chromesta, joten vaikuttaa oudolta, että 2FA-synkronointiprosessi ei tarjoa samanlaista käyttökokemusta.
Tässä on keksitty URL-osoite, jonka he loivat uuden 2FA-tilin luomiseksi Google Authenticator -sovelluksessa:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Ja tässä on pakettipaketti verkkoliikenteestä, jonka Google Authenticator synkronoi pilven kanssa ilman TLS-salausta:
Huomaa, että korostetut heksadesimaalimerkit vastaavat raakaa 10 tavua dataa, jotka vastaavat yllä olevan URL-osoitteen 32-kantaista "salaisuutta":
$ luax Lua 5.4.5 Tekijänoikeus (C) 1994-2023 Lua.org, PUC-Rio __ ___(o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Lisätty Duckin suosikkimoduulit kohtaan package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(raakaseed) F4316E3FCAB00A6152
Mitä tehdä?
Olemme samaa mieltä @mysk_co:n ehdotuksesta, joka on "Suosittelemme käyttämään sovellusta ilman uutta synkronointiominaisuutta toistaiseksi."
Olemme melko varmoja, että Google lisää pian tunnuslauseominaisuuden 2FA-synkronointiominaisuuteen, koska tämä ominaisuus on jo olemassa Chrome-selaimessa, kuten Chromen omilla ohjesivuilla selitetään:
Pidä tietosi yksityisinä
Tunnuslauseen avulla voit tallentaa ja synkronoida Chrome-tietosi Googlen pilven avulla antamatta Googlen lukea niitä. […] Salalauseet ovat valinnaisia. Synkronoidut tietosi on aina suojattu salauksella, kun ne ovat siirron aikana.
Jos olet jo synkronoinut siemenet, älä panikoi (niitä ei jaettu Googlelle tavalla, jonka avulla kenenkään muun olisi helppo salata ne), mutta sinun on nollattava 2FA-sekvenssit kaikille tileille, jotka nyt päätät, että sinun olisi luultavasti pitänyt pitää omana tietonasi. .
Loppujen lopuksi sinulla voi olla 2FA määritettynä verkkopalveluille, kuten pankkitileille, joiden käyttöehdot edellyttävät, että pidät itsellesi kaikki kirjautumistiedot, mukaan lukien salasanat ja siemenet, etkä koskaan jaa niitä kenellekään, ei edes Googlelle.
Jos sinulla on joka tapauksessa tapana ottaa kuvia 2FA-siementen QR-koodeista, ajattelematta sitä liikaa, suosittelemme, että et tee sitä.
Kuten Naked Securityssa haluamme sanoa: Jos olet epävarma / älä luovuta sitä.
Tietoa, jonka pidät itselläsi, ei voida vuotaa, varastaa, haastaa tai jakaa eteenpäin minkäänlaisille kolmansille osapuolille, ei tarkoituksella tai vahingossa.
Päivitys. Google on vastasi Twitterissä @mysk_co:n raporttiin myöntämällä, että se julkaisi tarkoituksella 2FA-tilin synkronointiominaisuuden ilman niin kutsuttua päästä päähän -salausta (E2EE), mutta väitti, että yhtiö on "aikoo tarjota E2EE:tä Google Authenticatorille." Yhtiö ilmoitti myös, että "mahdollisuus käyttää sovellusta offline-tilassa säilyy vaihtoehtona niille, jotka haluavat hallita varmuuskopiointistrategiaansa itse." [2023-04-26T18:37Z]
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- kyky
- pystyy
- Meistä
- siitä
- edellä
- absoluuttinen
- pääsy
- Tili
- Tilit
- poikki
- lisätä
- lisä-
- lisää
- lisä-
- Lisää
- Jälkeen
- vastaan
- Kaikki
- mahdollistaa
- jo
- Myös
- vaihtoehto
- aina
- an
- ja
- android
- Toinen
- Kaikki
- joku
- sovelluksen
- omena
- sovellukset
- OVAT
- Saapuu
- AS
- At
- kirjoittaja
- auto
- saatavissa
- välttää
- takaisin
- background-image
- Varmuuskopiointi
- Pankki
- pankkitilit
- pohja
- perustua
- BE
- koska
- ennen
- reunus
- lainata
- pohja
- Tuo
- selain
- mutta
- Ostetaan
- by
- laskettu
- Puhelut
- kamera
- CAN
- huolellisesti
- tapaus
- keskus
- mahdollisuus
- muuttaa
- Muutokset
- merkkejä
- kemiallinen
- siru
- sirut
- kromi
- kromi-selain
- väitti
- pilvi
- Cloud Storage
- koodi
- väri
- yhdistetty
- yleisesti
- yritys
- tietokone
- olosuhteet
- tavanomainen
- tekijänoikeus
- Kurssi
- kattaa
- Valtakirja
- kriittinen
- tietoverkkojen
- Vaarallinen
- tiedot
- Päivämäärä
- päättää
- päätti
- yksityiskohdat
- laite
- Laitteet
- DIG
- numeroa
- näyttö
- do
- ei
- ei
- Don
- Dont
- alas
- helppo
- myöskään
- Muut
- rohkaiseva
- salattu
- salaus
- päittäin
- kirjoittamalla
- Jopa
- Joka
- esimerkki
- experience
- Selittää
- selitti
- Ominaisuus
- varustellun
- Kuva
- Löytää
- Tulipalo
- Etunimi
- jälkeen
- varten
- Eteenpäin
- ystäviä
- alkaen
- tuottaa
- syntyy
- saada
- Antaa
- tietty
- menee
- Google Chrome
- Googlen
- napata
- Olla
- korkeus
- auttaa
- tätä
- Korostettu
- pitää
- liihottaa
- Miten
- HTTPS
- if
- kuvitella
- in
- Muilla
- sisältää
- Mukaan lukien
- tiedot
- tiedot
- sen sijaan
- tarkoituksella
- mielenkiintoinen
- etu
- tulee
- iOS
- IT
- SEN
- hypätä
- vain
- Pitää
- pito
- Tietää
- tunnettu
- kannettava tietokone
- myöhemmin
- vuotaa
- jättää
- antaa
- kerroit
- Taso
- pitää
- rajallinen
- linja
- Kirjaudu sisään
- kauan odotettu
- katso
- näyttää joltakin
- ulkonäkö
- menettää
- TEE
- haittaohjelmat
- hoitaa
- käsin
- Marginaali
- ottelu
- max-width
- Saattaa..
- välineet
- Media
- Mikroskopia
- virhe
- Puhelinnumero
- kännykkä
- Moderni
- Moduulit
- kk
- lisää
- paljon
- kaivattua
- Naked Security
- nimi
- nimittäin
- Tarve
- verkko
- verkkoliikenne
- Uusi
- uutiset
- Nro
- normaali
- nyt
- numero
- useat
- of
- pois
- kampanja
- tarjoamalla
- offline
- usein
- on
- kerran
- ONE
- verkossa
- Vaihtoehto
- or
- Muut
- ulos
- yli
- oma
- paketti
- paketit
- Paniikki
- osa
- osapuolet
- Salasana
- salasanat
- Paavali
- kurkistaa
- ehkä
- henkilöstö
- puhelin
- puhelimet
- Valokuvat
- kuvat
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- sijainti
- Viestejä
- ennustaa
- mieluummin
- aika
- todennäköisesti
- Ongelma
- prosessi
- Ohjelmat
- suojattu
- QR code
- qr-koodit
- satunnainen
- raaka
- Lue
- äskettäin
- suositella
- äänitys
- säännöllinen
- julkaistu
- jäädä
- korvata
- raportti
- edellyttää
- Tutkijat
- palauttaa
- rutiininomaisesti
- ajaa
- s
- turvallisesti
- sama
- sanonta
- skannata
- skannaus
- Haku
- Toinen
- sekuntia
- salaisuus
- turvallinen
- turvallisuus
- nähdä
- siemenet
- siemenet
- näyttää
- Järjestys
- palvelu
- Palvelut
- setti
- useat
- Jaa:
- yhteinen
- Lyhyt
- shouldnt
- merkki
- samankaltainen
- yksinkertaisesti
- SIX
- napsahtaa
- Nuuskia
- So
- vankka
- Joku
- kuulostaa
- erityinen
- Alkaa
- alkaa tarjota
- Aloita
- alkaa
- totesi
- pysyä
- varastettu
- Levytila
- verkkokaupasta
- tallennettu
- tarinat
- suoraan
- Strategia
- jono
- voimakkaasti
- niin
- SVG
- Vaihtaa
- Tabletti
- ottaa
- peukaloinnilta suojattu
- joukkue-
- ehdot
- käyttöehdot
- kuin
- että
- -
- Linja
- heidän
- Niitä
- sitten
- Siellä.
- siksi
- ne
- Ajattelu
- kolmas
- kolmannet osapuolet
- tätä
- ne
- aika
- kertaa
- että
- tänään
- liian
- ylin
- raita
- liikenne
- siirtää
- Siirtäminen
- kauttakulku
- siirtyminen
- läpinäkyvä
- kuljettaa
- totta
- VUORO
- viserrys
- tyyppi
- tyypillisesti
- ainoastaan
- avata
- käyttämätön
- Päivitykset
- päivitetty
- URL
- käyttää
- käytetty
- käyttäjä
- Käyttäjäkokemus
- Käyttäjät
- käyttämällä
- yleensä
- kautta
- Vierailla
- haluta
- oikeuttaa
- Tapa..
- tavalla
- we
- Web-pohjainen
- Verkkosivu
- viikkoa
- olivat
- Mitä
- kun
- aina kun
- onko
- joka
- vaikka
- KUKA
- leveys
- tulee
- with
- ilman
- sanoja
- kirjallinen
- vuotta
- vielä
- Voit
- Sinun
- itse
- zephyrnet
- nolla-