A A Google Hitelesítő A 2FA alkalmazás az utóbbi időben erősen szerepelt a kiberbiztonsági hírekben, és a Google hozzáadott egy olyan funkciót, amely lehetővé teszi a 2FA-adatok biztonsági mentését a felhőbe, majd visszaállítását más eszközökre.
Magyarázatként egy 2FA (kétfaktoros hitelesítés) alkalmazás egyike azon programoknak, amelyeket mobiltelefonján vagy táblagépén futtat, és egyszeri bejelentkezési kódokat generál, amelyek nem csupán jelszóval védik online fiókjait.
A hagyományos jelszavakkal az a probléma, hogy a szélhámosok számos módon koldulhatnak, ellophatják vagy kölcsönözhetik őket.
Van váll-szörfözés, ahol egy szélhámos kukucskál a vállad fölött, miközben gépeled; ott van ihletett találgatások, ahol olyan kifejezést használt, amelyet egy szélhámos előre meg tud jósolni személyes érdeklődési köre alapján; ott van Adathalászat, ahol arra csábítják, hogy átadja jelszavát egy csalónak; és van keylogging, ahol a számítógépére már beültetett rosszindulatú programok nyomon követik a beírt szöveget, és titokban rögzíteni kezdik, valahányszor meglátogat egy érdekesnek tűnő webhelyet.
És mivel a hagyományos jelszavak rendszerint ugyanazok maradnak bejelentkezéstől bejelentkezésig, a csalók, akik manapság kitalálnak egy jelszót, gyakran egyszerűen újra és újra használhatják, gyakran hetekig, esetleg hónapokig, sőt néha évekig is.
Így a 2FA-alkalmazások egyszeri bejelentkezési kódjaikkal kiegészítik a szokásos jelszavát egy további titokkal, általában egy hatjegyű számmal, amely minden alkalommal változik.
A telefon, mint második tényező
A 2FA-alkalmazások által általában generált hatjegyű kódok közvetlenül a telefonon kerülnek kiszámításra, nem a laptopra; a telefonon tárolt „mag”-on vagy „indítókulcson” alapulnak; és a telefonon lévő biztonsági kód védi őket, nem pedig a laptopon rutinszerűen beírt jelszavak.
Így azok a szélhámosok, akik könyörögnek, kölcsönkérik vagy ellopják szokásos jelszavát, nem ugorhatnak be közvetlenül a fiókjába.
A támadóknak hozzá kell férniük az Ön telefonjához, és fel kell tudniuk oldani a telefon zárolását az alkalmazás futtatásához és az egyszeri kód megszerzéséhez. (A kódok általában a dátumon és az időn alapulnak félperces pontossággal, ezért 30 másodpercenként változnak.)
Még jobb, hogy a modern telefonok hamisításbiztos, biztonságos tárolóchipeket tartalmaznak (az Apple a sajátját hívja Biztonságos enklávé; A Google néven ismert Titán).
Természetesen ez a „megoldás” egy saját problémát is magával hoz, nevezetesen: hogyan lehet biztonsági másolatot készíteni a rendkívül fontos 2FA magokról arra az esetre, ha elveszítené a telefonját, vagy vesz egy újat, és át akarna váltani rá?
A vetőmagok biztonsági mentésének veszélyes módja
A legtöbb online szolgáltatás megköveteli, hogy egy 2FA kódsorozatot állítson be egy új fiókhoz egy 20 bájtos véletlenszerű adatsor megadásával, ami azt jelenti, hogy fáradságos módon kell beírni vagy 40 hexadecimális (16 alap) karaktert, minden fél bájthoz egyet, vagy 32 karakter óvatos beírásával base-32 kódolásban, amely a karaktereket használja A
nak nek Z
és a hat számjegy 234567
(nulla és egy nem használt, mert úgy néznek ki, mint az O-Oscar és az I-for-India).
Azt leszámítva, hogy általában megvan a lehetőség, hogy elkerülje a kezdeti titkának manuális megérintésével járó gondokat, ha ehelyett egy speciális URL-t olvas be QR-kódon keresztül.
Ezekben a speciális 2FA URL-ekben a fiók neve és a kezdő seed van beléjük kódolva, így (itt a magot 10 bájtra vagy 16 bázis-32 karakterre korlátoztuk, hogy az URL rövid legyen):
Valószínűleg kitalálod, hová vezet ez.
Amikor elindítja a mobiltelefon kameráját, hogy beolvassa az ilyen típusú 2FA-kódokat, nagy a kísértés, hogy először lefotózza a kódokat, hogy biztonsági másolatként használja…
…de arra kérünk, hogy ezt ne tedd, mert aki később megkapja ezeket a képeket (például a felhőfiókodból, vagy mert tévedésből továbbítottad), tudni fogja a titkos magot, és triviálisan elő tudja generálni a megfelelőt. hatjegyű kódok sorozata.
Hogyan készítsünk tehát megbízható biztonsági másolatot a 2FA adatairól? egyszerű szöveges másolatok megőrzése nélkül azokról a bosszantó több bájtos titkokról?
A Google Authenticator az ügyben
Nos, a Google Hitelesítő a közelmúltban, ha megkésve, úgy döntött, hogy 2FA „fiókszinkronizálási” szolgáltatást kínál, hogy biztonsági másolatot készíthessen a 2FA kódsorozatokról a felhőbe, és később visszaállíthassa őket egy új eszközre, például ha elveszíti vagy kicseréli. telefonod.
Mint egy média leírt Informatika, „A Google Hitelesítő 13 év után egy nagyon régóta várt funkcióval bővül.”
De mennyire biztonságosan megy végbe ez a fiókszinkronizálási adatátvitel?
Titkosított kezdőadatai a Google felhőjébe történő átvitel során?
Amint el tudja képzelni, a 2FA-titkok átvitelének felhőfeltöltési része valóban titkosított, mert a Google, mint minden biztonságtudatos vállalat, már évek óta HTTPS-t és csak HTTPS-t használ az összes webalapú forgalmához. .
De a 2FA-fiókjait titkosítani lehet-e olyan jelmondattal, amely kizárólag az Öné mielőtt még elhagyják a készüléket?
Így nem lehet őket elfogni (akár jogszerűen, akár nem), beidézni, kiszivárogtatni vagy ellopni őket, amíg felhőalapú tárhelyen vannak.
Végül is a „felhőben” kifejezés egy másik módja egyszerűen „valaki más számítógépére mentve”.
Találd ki?
Indie-kódoló és kiberbiztonsági vitázó barátaink itt @mysk_co, akiről korábban többször is írtunk a Naked Security-n, úgy döntött, hogy utánajár.
Mit számoltak be nem hangzik túl biztatóan.
A Google nemrég frissítette a 2FA Authenticator alkalmazását, és hozzáadott egy nagyon szükséges funkciót: a titkok szinkronizálásának lehetőségét az eszközök között.
TL;DR: Ne kapcsolja be.
Az új frissítés lehetővé teszi a felhasználók számára, hogy bejelentkezzenek Google-fiókjukkal, és szinkronizálják a 2FA titkokat iOS és Android készülékeik között.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Mint fentebb látható, @mysk_co a következőket állította:
- 2FA-fiókjának adatai, beleértve a magokat is, titkosítatlanok voltak a HTTPS-hálózati csomagjaikban. Más szóval, ha a feltöltés megérkezése után a szállítási szintű titkosítást megfosztják, a magok elérhetővé válnak a Google számára, így értelemszerűen bárki számára, akinek felkutatási engedélye van az Ön adataira.
- Nincs jelszó-lehetőség a feltöltés titkosításához, mielőtt az elhagyná az eszközt. Amint a @mysc_co csapata rámutat, ez a funkció a Google Chrome-ból származó információk szinkronizálása során érhető el, így furcsának tűnik, hogy a 2FA szinkronizálási folyamat nem kínál hasonló felhasználói élményt.
Íme a kitalált URL, amelyet létrehoztak egy új 2FA-fiók beállításához a Google Authenticator alkalmazásban:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
És íme, a Google Authenticator által a felhővel szinkronizált hálózati forgalom csomagfelvétele, a szállítási szintű biztonsági (TLS) titkosítás megszüntetésével:
Vegye figyelembe, hogy a kiemelt hexadecimális karakterek megegyeznek a nyers 10 bájtnyi adatokkal, amelyek megfelelnek a fenti URL-ben szereplő 32-es alapszámú „titoknak”:
$ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ A Duck kedvenc moduljai hozzáadva a package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152
Mit kell tenni?
Egyetértünk @mysk_co javaslatával, ami "Azt javasoljuk, hogy az alkalmazást egyelőre az új szinkronizálási funkció nélkül használja."
Biztosak vagyunk benne, hogy a Google hamarosan jelmondat-funkciót ad a 2FA szinkronizálási funkcióhoz, mivel ez a funkció már létezik a Chrome böngészőben, a Chrome saját súgóoldalain leírtak szerint:
Tartsa titokban adatait
Összetett jelszóval a Google felhőjében tárolhatja és szinkronizálhatja Chrome-adatait anélkül, hogy a Google elolvashatná azokat. […] A jelszavak nem kötelezőek. Szinkronizált adatait mindig titkosítás védi továbbítás közben.
Ha már szinkronizálta a magokat, ne essen pánikba (nem olyan módon osztották meg a Google-lal, hogy bárki más könnyen kiszúrhassa őket), de vissza kell állítania a 2FA szekvenciákat minden olyan fióknál, amelyekről most úgy dönt, hogy valószínűleg meg kellett volna tartania magát. .
Elvégre előfordulhat, hogy beállította a 2FA-t olyan online szolgáltatásokhoz, mint például a bankszámlák, ahol a szerződési feltételek megkövetelik, hogy minden bejelentkezési adatot megtartson magának, beleértve a jelszavakat és a magokat, és soha ne ossza meg azokat senkivel, még a Google-lal sem.
Ha egyébként is szokott fotókat készíteni a QR-kódokról a 2FA magokhoz, anélkül, hogy túl sokat gondolkodna rajta, azt javasoljuk, hogy ne.
Ahogy mondani szoktuk a Naked Security-ről: Ha kétségei vannak / Ne adja ki.
Az Ön által megtartott adatok nem szivároghatnak ki, nem lophatók el, nem idézhetnek be, vagy nem oszthatók meg harmadik felekkel, akár szándékosan, akár tévedésből.
Frissítés. A Google-nak válaszolt a Twitteren a @mysk_co jelentésére azzal, hogy elismerte, hogy szándékosan bocsátotta ki a 2FA fiókszinkronizálási funkciót úgynevezett végpontok közötti titkosítás (E2EE) nélkül, de azt állította, hogy a vállalat „az E2EE-t tervezi kínálni a Google Authenticatorhoz.” A cég azt is közölte, hogy „az alkalmazás offline használatának lehetősége továbbra is alternatíva marad azok számára, akik inkább maguk kezelik biztonsági mentési stratégiájukat”. [2023-04-26T18:37Z]
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- képesség
- Képes
- Rólunk
- erről
- felett
- Abszolút
- hozzáférés
- Fiók
- Fiókok
- át
- hozzá
- hozzáadott
- hozzáadásával
- További
- Hozzáteszi
- Után
- ellen
- Minden termék
- lehetővé teszi, hogy
- már
- Is
- alternatív
- mindig
- an
- és a
- android
- Másik
- bármilyen
- bárki
- app
- Apple
- alkalmazások
- VANNAK
- érkezik
- AS
- At
- szerző
- auto
- elérhető
- elkerülése érdekében
- vissza
- background-image
- mentés
- Bank
- bankszámlák
- bázis
- alapján
- BE
- mert
- előtt
- határ
- kölcsönkér
- Alsó
- Bring
- böngésző
- de
- megvesz
- by
- számított
- kéri
- szoba
- TUD
- gondosan
- eset
- Központ
- esély
- változik
- Változások
- karakter
- kémiai
- csip
- játékpénz
- króm
- króm böngésző
- azt állította,
- felhő
- felhő tárolási
- kód
- szín
- kombinált
- általában
- vállalat
- számítógép
- Körülmények
- hagyományos
- copyright
- Tanfolyam
- terjed
- Hitelesítő adatok
- kritikai
- Kiberbiztonság
- Veszélyes
- dátum
- találka
- dönt
- határozott
- részletek
- eszköz
- Eszközök
- DIG
- számjegy
- kijelző
- do
- nem
- Nem
- Don
- ne
- le-
- könnyű
- bármelyik
- Egyéb
- bátorító
- titkosított
- titkosítás
- végtől végig
- belépés
- Még
- Minden
- példa
- tapasztalat
- Magyarázza
- magyarázható
- Funkció
- jellegű
- Ábra
- Találjon
- természet
- vezetéknév
- következő
- A
- Előre
- barátok
- ból ből
- generál
- generált
- kap
- Ad
- adott
- megy
- Google Chrome
- megragad
- Legyen
- magasság
- segít
- itt
- Kiemelt
- tart
- lebeg
- Hogyan
- HTTPS
- if
- kép
- in
- Más
- tartalmaz
- Beleértve
- info
- információ
- helyette
- szándékosan
- érdekes
- érdekek
- bele
- iOS
- IT
- ITS
- ugrás
- éppen
- Tart
- tartás
- Ismer
- ismert
- hordozható számítógép
- a későbbiekben
- szivárog
- Szabadság
- hadd
- bérbeadása
- szint
- mint
- Korlátozott
- vonal
- Belépés
- régóta várt
- néz
- hasonló
- MEGJELENÉS
- veszít
- KÉSZÍT
- malware
- kezelése
- kézzel
- Margó
- Mérkőzés
- max-width
- Lehet..
- eszközök
- Média
- Mikroszkópia
- hiba
- Mobil
- mobiltelefon
- modern
- Modulok
- hónap
- több
- sok
- nagy szükség
- Meztelen biztonság
- név
- ugyanis
- Szükség
- hálózat
- hálózati forgalom
- Új
- hír
- nem
- normális
- Most
- szám
- számos
- of
- kedvezmény
- ajánlat
- felajánlás
- Nem elérhető
- gyakran
- on
- egyszer
- ONE
- online
- opció
- or
- Más
- ki
- felett
- saját
- csomag
- csomagok
- Pánik
- rész
- fél
- Jelszó
- jelszavak
- Paul
- kukucskál
- talán
- személyes
- telefon
- telefonok
- képek
- képek
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- pozíció
- Hozzászólások
- előre
- jobban szeret
- szép
- valószínűleg
- Probléma
- folyamat
- Programok
- védett
- QR-kód
- qr-kódok
- véletlen
- Nyers
- Olvass
- nemrég
- ajánl
- felvétel
- szabályos
- felszabaduló
- marad
- cserélni
- jelentést
- szükség
- kutatók
- visszaad
- rutinszerűen
- futás
- s
- biztosan
- azonos
- mondás
- beolvasás
- letapogatás
- Keresés
- Második
- másodperc
- Titkos
- biztonság
- biztonság
- lát
- mag
- magok
- Úgy tűnik,
- Sorozat
- szolgáltatás
- Szolgáltatások
- készlet
- számos
- Megosztás
- megosztott
- rövid
- kellene
- <p></p>
- hasonló
- egyszerűen
- SIX
- Snap
- Ellop
- So
- szilárd
- Valaki
- hang
- speciális
- kezdet
- elkezd kínálni
- Kezdve
- kezdődik
- meghatározott
- tartózkodás
- lopott
- tárolás
- tárolni
- memorizált
- TÖRTÉNETEK
- egyenes
- Stratégia
- Húr
- erősen
- ilyen
- SVG
- kapcsoló
- Tabletta
- Vesz
- szabotázsbiztos
- csapat
- feltételek
- Felhasználási feltételeket
- mint
- hogy
- A
- A vonal
- azok
- Őket
- akkor
- Ott.
- ebből adódóan
- ők
- Gondolkodás
- Harmadik
- harmadik felek
- ezt
- azok
- idő
- alkalommal
- nak nek
- Ma
- is
- felső
- vágány
- forgalom
- átruházás
- Átadó
- tranzit
- átmenet
- átlátszó
- szállítható
- igaz
- FORDULAT
- típus
- jellemzően
- egyedileg
- kinyit
- felhasználatlan
- Frissítések
- frissítve
- URL
- használ
- használt
- használó
- User Experience
- Felhasználók
- segítségével
- rendszerint
- keresztül
- Látogat
- akar
- parancs
- Út..
- módon
- we
- web-alapú
- weboldal
- Hetek
- voltak
- Mit
- amikor
- bármikor
- vajon
- ami
- míg
- WHO
- szélesség
- lesz
- val vel
- nélkül
- szavak
- írott
- év
- még
- te
- A te
- magad
- zephyrnet
- nulla