Grafik Google Authenticator Aplikasi 2FA telah tampil kuat dalam berita keamanan siber akhir-akhir ini, dengan Google menambahkan fitur untuk memungkinkan Anda mencadangkan data 2FA Anda ke cloud dan kemudian mengembalikannya ke perangkat lain.
Untuk menjelaskan, 2FA (otentikasi dua faktor) adalah salah satu program yang Anda jalankan di ponsel atau tablet untuk menghasilkan kode login sekali pakai yang membantu mengamankan akun online Anda dengan lebih dari sekadar kata sandi.
Masalah dengan kata sandi konvensional adalah bahwa ada banyak cara penjahat dapat mengemis, mencuri, atau meminjamnya.
Ada selancar bahu, di mana penjahat di tengah Anda mengintip dari balik bahu Anda saat Anda mengetiknya; ada tebakan yang terinspirasi, di mana Anda menggunakan frasa yang dapat diprediksi oleh penjahat berdasarkan minat pribadi Anda; ada Phishing, di mana Anda dibujuk untuk menyerahkan kata sandi Anda kepada penipu; dan ada keylogging, di mana malware yang sudah ditanamkan di komputer Anda melacak apa yang Anda ketik dan diam-diam mulai merekam setiap kali Anda mengunjungi situs web yang terlihat menarik.
Dan karena kata sandi konvensional biasanya tetap sama dari login ke login, penjahat yang mengetahui kata sandi saat ini sering kali dapat menggunakannya berulang kali di waktu senggang mereka, seringkali selama berminggu-minggu, mungkin berbulan-bulan, dan terkadang bahkan bertahun-tahun.
Jadi, aplikasi 2FA, dengan kode masuk satu kali, menambah kata sandi biasa Anda dengan rahasia tambahan, biasanya angka enam digit, yang berubah setiap saat.
Ponsel Anda sebagai faktor kedua
Kode enam digit yang biasanya dibuat oleh aplikasi 2FA dihitung langsung di ponsel Anda, bukan di laptop Anda; mereka didasarkan pada "seed" atau "starting key" yang disimpan di ponsel Anda; dan dilindungi oleh kode kunci di ponsel Anda, bukan oleh kata sandi apa pun yang biasa Anda ketikkan di laptop.
Dengan begitu, penjahat yang mengemis, meminjam, atau mencuri kata sandi biasa Anda tidak dapat langsung masuk ke akun Anda.
Penyerang tersebut juga memerlukan akses ke ponsel Anda, dan mereka harus dapat membuka kunci ponsel Anda untuk menjalankan aplikasi dan mendapatkan kode sekali pakai. (Kode biasanya didasarkan pada tanggal dan waktu hingga setengah menit terdekat, sehingga berubah setiap 30 detik.)
Lebih baik lagi, ponsel modern menyertakan chip penyimpanan aman anti-rusak (Apple menyebutnya milik mereka Enklave Aman; Google dikenal sebagai Titan) yang menyimpan rahasia mereka bahkan jika Anda berhasil melepaskan chip dan mencoba menggali data darinya secara offline melalui probe listrik mini, atau dengan etsa kimia yang dikombinasikan dengan mikroskop elektron.
Tentu saja, "solusi" ini membawa masalah tersendiri, yaitu: bagaimana Anda mencadangkan benih 2FA yang sangat penting itu jika Anda kehilangan ponsel, atau membeli yang baru dan ingin beralih ke sana?
Cara berbahaya untuk mencadangkan benih
Sebagian besar layanan online mengharuskan Anda menyiapkan urutan kode 2FA untuk akun baru dengan memasukkan string data acak berukuran 20 byte, yang berarti dengan susah payah mengetikkan 40 karakter heksadesimal (basis-16), satu untuk setiap setengah byte, atau dengan hati-hati memasukkan 32 karakter dalam pengkodean basis-32, yang menggunakan karakter A
untuk Z
dan enam digit 234567
(nol dan satu tidak digunakan karena terlihat seperti O-untuk-Oscar dan I-untuk-India).
Kecuali bahwa Anda biasanya mendapatkan kesempatan untuk menghindari kerumitan mengetuk rahasia awal Anda secara manual dengan memindai dalam jenis URL khusus melalui kode QR.
URL 2FA khusus ini memiliki nama akun dan seed awal yang dikodekan ke dalamnya, seperti ini (kami membatasi seed di sini hingga 10 byte, atau 16 karakter basis-32, agar URL tetap pendek):
Anda mungkin bisa menebak ke mana arahnya.
Saat Anda menyalakan kamera ponsel untuk memindai dalam kode 2FA semacam ini, Anda tergoda untuk mengambil foto kode terlebih dahulu, untuk digunakan sebagai cadangan…
…tetapi kami menghimbau Anda untuk tidak melakukan itu, karena siapa pun yang mendapatkan gambar-gambar itu nanti (misalnya dari akun cloud Anda, atau karena Anda tidak sengaja meneruskannya) akan mengetahui seed rahasia Anda, dan dengan mudah dapat menghasilkan hak urutan kode enam digit.
Oleh karena itu, bagaimana cara mencadangkan data 2FA Anda dengan andal tanpa menyimpan salinan plaintext rahasia multi-byte sial itu?
Google Authenticator dalam kasus ini
Nah, Google Authenticator baru-baru ini, jika terlambat, memutuskan untuk mulai menawarkan layanan "sinkronisasi akun" 2FA sehingga Anda dapat mencadangkan urutan kode 2FA Anda ke cloud, dan kemudian memulihkannya ke perangkat baru, misalnya jika Anda kehilangan atau mengganti telepon Anda.
Sebagai salah satu media dijelaskan saya t, “Google Authenticator menambahkan fitur kritis yang telah lama ditunggu-tunggu setelah 13 tahun.”
Tapi seberapa aman transfer data sinkronisasi akun ini terjadi?
Apakah data seed rahasia Anda dienkripsi saat transit ke cloud Google?
Seperti yang dapat Anda bayangkan, bagian unggahan cloud untuk mentransfer rahasia 2FA Anda memang dienkripsi, karena Google, seperti setiap perusahaan yang sadar akan keamanan di luar sana, telah menggunakan HTTPS-dan-hanya-HTTPS untuk semua lalu lintas berbasis webnya selama beberapa tahun sekarang. .
Tetapi bisakah akun 2FA Anda dienkripsi dengan frasa sandi yang unik milik Anda bahkan sebelum mereka meninggalkan perangkat Anda?
Dengan begitu, mereka tidak dapat dicegat (baik secara sah atau tidak), dipanggil, dibocorkan, atau dicuri saat berada di penyimpanan cloud.
Lagi pula, cara lain untuk mengatakan "di cloud" hanyalah "disimpan di komputer orang lain".
Tebak apa?
Teman-teman indie-coder dan cybersecurity-wrangling kami di @mysk_co, yang telah kami tulis beberapa kali sebelumnya di Naked Security, memutuskan untuk mencari tahu.
Apa mereka melaporkan tidak terdengar sangat menggembirakan.
Google baru saja memperbarui aplikasi 2FA Authenticator dan menambahkan fitur yang sangat dibutuhkan: kemampuan untuk menyinkronkan rahasia di seluruh perangkat.
TL; DR: Jangan nyalakan.
Pembaruan baru memungkinkan pengguna untuk masuk dengan Akun Google mereka dan menyinkronkan rahasia 2FA di perangkat iOS dan Android mereka.… pic.twitter.com/a8hhelupZR
— Mysk❤🇩🇪 (@mysk_co) 26 April, 2023
Seperti yang Anda lihat di atas, @mysk_co mengklaim sebagai berikut:
- Detail akun 2FA Anda, termasuk seed, tidak dienkripsi di dalam paket jaringan HTTPS mereka. Dengan kata lain, setelah enkripsi tingkat transportasi dilepas setelah unggahan tiba, seed Anda tersedia untuk Google, dan dengan demikian, implikasinya, kepada siapa saja yang memiliki surat perintah penggeledahan untuk data Anda.
- Tidak ada opsi frasa sandi untuk mengenkripsi unggahan Anda sebelum meninggalkan perangkat Anda. Seperti yang ditunjukkan oleh tim @mysc_co, fitur ini tersedia saat menyinkronkan informasi dari Google Chrome, sehingga terasa aneh bahwa proses sinkronisasi 2FA tidak menawarkan pengalaman pengguna yang serupa.
Inilah URL yang mereka buat untuk menyiapkan akun 2FA baru di aplikasi Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Dan inilah pengambilan paket dari lalu lintas jaringan yang disinkronkan Google Authenticator dengan cloud, dengan enkripsi keamanan tingkat transportasi (TLS) dilepas:
Perhatikan bahwa karakter heksadesimal yang disorot cocok dengan data mentah 10 byte yang sesuai dengan "rahasia" basis-32 di URL di atas:
$ luax Lua 5.4.5 Hak Cipta (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Menambahkan modul favorit Duck di package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC
Apa yang harus dilakukan?
Kami setuju dengan saran @mysk_co yaitu, “Kami merekomendasikan untuk menggunakan aplikasi tanpa fitur sinkronisasi baru untuk saat ini.”
Kami cukup yakin bahwa Google akan segera menambahkan fitur frasa sandi ke fitur sinkronisasi 2FA, mengingat fitur ini sudah ada di browser Chrome, seperti yang dijelaskan di halaman bantuan Chrome sendiri:
Jaga kerahasiaan informasi Anda
Dengan frasa sandi, Anda dapat menggunakan cloud Google untuk menyimpan dan menyinkronkan data Chrome Anda tanpa mengizinkan Google membacanya. […] Frasa sandi bersifat opsional. Data Anda yang disinkronkan selalu dilindungi oleh enkripsi saat transit.
Jika Anda sudah menyinkronkan seed Anda, jangan panik (mereka tidak dibagikan dengan Google dengan cara yang memudahkan orang lain untuk mengintai mereka), tetapi Anda perlu mengatur ulang urutan 2FA untuk setiap akun yang sekarang Anda putuskan mungkin harus Anda simpan sendiri .
Lagi pula, Anda mungkin memiliki 2FA yang disiapkan untuk layanan online seperti rekening bank di mana syarat dan ketentuan mengharuskan Anda menyimpan semua kredensial masuk untuk diri Anda sendiri, termasuk kata sandi dan seed, dan tidak pernah membaginya dengan siapa pun, bahkan Google.
Jika Anda terbiasa memotret kode QR untuk seed 2FA Anda, tanpa terlalu memikirkannya, kami menyarankan Anda untuk tidak melakukannya.
Seperti yang ingin kami katakan di Keamanan Telanjang: Jika ragu / Jangan berikan.
Data yang Anda simpan untuk diri sendiri tidak boleh bocor, atau dicuri, atau dipanggil, atau dibagikan dengan pihak ketiga dalam bentuk apa pun, baik sengaja atau tidak sengaja.
Update. Google memiliki merespons di Twitter ke laporan @mysk_co dengan mengakui bahwa pihaknya sengaja merilis fitur sinkronisasi akun 2FA tanpa apa yang disebut enkripsi ujung-ke-ujung (E2EE), tetapi mengklaim bahwa perusahaan telah “berencana untuk menawarkan E2EE untuk Google Authenticator di masa mendatang.” Perusahaan juga menyatakan bahwa “opsi untuk menggunakan aplikasi secara offline akan tetap menjadi alternatif bagi mereka yang lebih memilih untuk mengelola sendiri strategi pencadangannya”. [2023-04-26T18:37Z]
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- kemampuan
- Sanggup
- Tentang Kami
- tentang itu
- atas
- Mutlak
- mengakses
- Akun
- Akun
- di seluruh
- menambahkan
- menambahkan
- menambahkan
- Tambahan
- Menambahkan
- Setelah
- terhadap
- Semua
- memungkinkan
- sudah
- juga
- alternatif
- selalu
- an
- dan
- android
- Lain
- Apa pun
- siapapun
- aplikasi
- Apple
- aplikasi
- ADALAH
- Tiba
- AS
- At
- penulis
- mobil
- tersedia
- menghindari
- kembali
- background-image
- backup
- Bank
- akun bank
- mendasarkan
- berdasarkan
- BE
- karena
- sebelum
- batas
- meminjam
- Bawah
- Membawa
- Browser
- tapi
- membeli
- by
- dihitung
- Panggilan
- kamar
- CAN
- hati-hati
- kasus
- pusat
- kesempatan
- perubahan
- Perubahan
- karakter
- kimia
- keping
- Keripik
- Chrome
- browser chrome
- diklaim
- awan
- Cloud Storage
- kode
- warna
- bergabung
- umum
- perusahaan
- komputer
- Kondisi
- konvensional
- hak cipta
- Kelas
- menutupi
- Surat kepercayaan
- kritis
- Keamanan cyber
- Berbahaya
- data
- Tanggal
- memutuskan
- memutuskan
- rincian
- alat
- Devices
- DIG
- digit
- Display
- do
- tidak
- Tidak
- don
- Dont
- turun
- Mudah
- antara
- milik orang lain
- mendorong
- terenkripsi
- enkripsi
- ujung ke ujung
- memasuki
- Bahkan
- Setiap
- contoh
- pengalaman
- Menjelaskan
- menjelaskan
- Fitur
- fitur
- Angka
- Menemukan
- Kebakaran
- Pertama
- berikut
- Untuk
- Depan
- teman
- dari
- menghasilkan
- dihasilkan
- mendapatkan
- Memberikan
- diberikan
- akan
- Google Chrome
- merebut
- Memiliki
- tinggi
- membantu
- di sini
- Disorot
- memegang
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- if
- membayangkan
- in
- Di lain
- memasukkan
- Termasuk
- Info
- informasi
- sebagai gantinya
- dengan sengaja
- menarik
- kepentingan
- ke
- iOS
- IT
- NYA
- melompat
- hanya
- Menjaga
- pemeliharaan
- Tahu
- dikenal
- laptop
- kemudian
- bocor
- Meninggalkan
- membiarkan
- membiarkan
- Tingkat
- 'like'
- Terbatas
- baris
- masuk
- lama ditunggu-tunggu
- melihat
- terlihat seperti
- TERLIHAT
- kehilangan
- MEMBUAT
- malware
- mengelola
- manual
- Margin
- Cocok
- max-width
- Mungkin..
- cara
- Media
- Mikroskopi
- kesalahan
- mobil
- telepon genggam
- modern
- Modul
- bulan
- lebih
- banyak
- sangat dibutuhkan
- Keamanan Telanjang
- nama
- yaitu
- Perlu
- jaringan
- lalu lintas jaringan
- New
- berita
- tidak
- normal
- sekarang
- jumlah
- banyak sekali
- of
- lepas
- menawarkan
- menawarkan
- Pengunjung
- sering
- on
- sekali
- ONE
- secara online
- pilihan
- or
- Lainnya
- di luar
- lebih
- sendiri
- paket
- paket
- Panik
- bagian
- pihak
- Kata Sandi
- password
- paul
- mengintip
- mungkin
- pribadi
- telepon
- ponsel
- Foto
- Film
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- posisi
- Posts
- meramalkan
- lebih suka
- cukup
- mungkin
- Masalah
- proses
- program
- terlindung
- Kode QR
- kode qr
- acak
- Mentah
- Baca
- baru-baru ini
- sarankan
- rekaman
- reguler
- dirilis
- tinggal
- menggantikan
- melaporkan
- membutuhkan
- peneliti
- mengembalikan
- secara rutin
- Run
- s
- aman
- sama
- mengatakan
- pemindaian
- pemindaian
- Pencarian
- Kedua
- detik
- Rahasia
- aman
- keamanan
- melihat
- benih
- biji
- tampaknya
- Urutan
- layanan
- Layanan
- set
- beberapa
- Share
- berbagi
- Pendek
- harus
- menandatangani
- mirip
- hanya
- ENAM
- Jepret
- Mengintip
- So
- padat
- Seseorang
- Suara
- khusus
- awal
- mulai menawarkan
- Mulai
- dimulai
- menyatakan
- tinggal
- dicuri
- penyimpanan
- menyimpan
- tersimpan
- cerita
- lurus
- Penyelarasan
- Tali
- sangat
- seperti itu
- SVG
- Beralih
- Tablet
- Mengambil
- bukti kerusakan
- tim
- istilah
- syarat dan Ketentuan
- dari
- bahwa
- Grafik
- Garis
- mereka
- Mereka
- kemudian
- Sana.
- karena itu
- mereka
- Pikir
- Ketiga
- Pihak ketiga
- ini
- itu
- waktu
- kali
- untuk
- hari ini
- terlalu
- puncak
- jalur
- lalu lintas
- transfer
- Mentransfer
- transit
- transisi
- jelas
- mengangkut
- benar
- MENGHIDUPKAN
- mengetik
- khas
- unik
- membuka kunci
- terpakai
- Memperbarui
- diperbarui
- URL
- menggunakan
- bekas
- Pengguna
- Pengguna Pengalaman
- Pengguna
- menggunakan
- biasanya
- melalui
- Mengunjungi
- ingin
- waran
- Cara..
- cara
- we
- berbasis web
- Situs Web
- minggu
- adalah
- Apa
- ketika
- kapan saja
- apakah
- yang
- sementara
- SIAPA
- lebar
- akan
- dengan
- tanpa
- kata
- tertulis
- tahun
- namun
- Kamu
- Anda
- diri
- zephyrnet.dll
- nol