השמיים מאמת Google אפליקציית 2FA הופיעה מאוד בכתבות חדשות בנושא אבטחת סייבר לאחרונה, כאשר גוגל הוסיפה תכונה שתאפשר לך לגבות את נתוני ה-2FA שלך לענן ואז לשחזר אותם למכשירים אחרים.
כדי להסביר, 2FA (אימות שני גורמים) app היא אחת מאותן תוכניות שאתה מפעיל בטלפון הנייד או הטאבלט שלך כדי ליצור קודי כניסה חד-פעמיים שעוזרים לאבטח את החשבונות המקוונים שלך עם יותר מסתם סיסמה.
הבעיה עם סיסמאות קונבנציונליות היא שישנן דרכים רבות בהן נוכלים יכולים להתחנן, לגנוב או לשאול אותן.
יש גלישת כתפיים, שבו נוכל בקרבך מציץ מעבר לכתף שלך בזמן שאתה מקליד אותו; יש ניחושים בהשראתם, שבו השתמשת בביטוי שנוכל יכול לחזות על סמך תחומי העניין האישיים שלך; יש דיוג, שבו אתה מפתה למסור את הסיסמה שלך למתחזה; ויש כניסה למפתחות, שבו תוכנות זדוניות שכבר הושתלו במחשב שלך עוקבות אחר מה שאתה מקליד ומתחיל להקליט בסתר בכל פעם שאתה מבקר באתר שנראה מעניין.
ומכיוון שסיסמאות קונבנציונליות בדרך כלל נשארות זהות מכניסה לכניסה, נוכלים שמבינים סיסמה היום יכולים לעתים קרובות פשוט להשתמש בה שוב ושוב בשעות הפנאי שלהם, לעתים קרובות במשך שבועות, אולי במשך חודשים, ולפעמים אפילו במשך שנים.
אז אפליקציות 2FA, עם קודי הכניסה החד-פעמיים שלהן, מגדילות את הסיסמה הרגילה שלך עם סוד נוסף, בדרך כלל מספר בן שש ספרות, שמשתנה בכל פעם.
הטלפון שלך כגורם שני
הקודים בן שש הספרות שנוצרים בדרך כלל על ידי אפליקציות 2FA מחושבים ישירות בטלפון שלך, לא במחשב הנייד שלך; הם מבוססים על "זרע" או "מפתח הפעלה" המאוחסנים בטלפון שלך; והם מוגנים על ידי קוד הנעילה בטלפון שלך, לא על ידי סיסמאות שאתה מקליד באופן שגרתי במחשב הנייד שלך.
בדרך זו, נוכלים שמתחננים, שואלים או גונבים את הסיסמה הרגילה שלך לא יכולים פשוט לקפוץ ישר לחשבון שלך.
התוקפים האלה צריכים גם גישה לטלפון שלך, והם צריכים להיות מסוגלים לפתוח את הטלפון שלך כדי להפעיל את האפליקציה ולקבל את הקוד החד-פעמי. (הקודים מבוססים בדרך כלל על התאריך והשעה עד לחצי הדקה הקרובה, כך שהם משתנים כל 30 שניות.)
יתר על כן, טלפונים מודרניים כוללים שבבי אחסון מאובטחים מוגנים מפני חבלה (אפל מתקשרת לשלהם מובלעת מאובטחת; זה של גוגל ידוע בשם עֲנָק) השומרים על הסודות שלהם גם אם תצליחו לנתק את השבב ולנסות לחפור ממנו נתונים במצב לא מקוון באמצעות בדיקות חשמליות מיניאטוריות, או על ידי תחריט כימי בשילוב מיקרוסקופ אלקטרונים.
כמובן, "הפתרון" הזה מביא איתו בעיה משלו, כלומר: איך אתה מגבה את זרעי ה-2FA החשובים האלה במקרה שאתה מאבד את הטלפון שלך, או קונה אחד חדש ורוצה לעבור אליו?
הדרך המסוכנת לגבות זרעים
רוב השירותים המקוונים דורשים ממך להגדיר רצף קוד 2FA עבור חשבון חדש על ידי הזנת מחרוזת של 20 בתים של נתונים אקראיים, כלומר הקלדה עמלנית של 40 תווים הקסדצימליים (בסיס-16), אחד לכל חצי בייט, או על ידי הזנה קפדנית של 32 תווים בקידוד base-32, המשתמש בתווים A
ל Z
ושש הספרות 234567
(אפס ואחד אינם בשימוש כי הם נראים כמו O-for-Oscar ו-I-for-India).
אלא שבדרך כלל אתה מקבל את ההזדמנות להימנע מהטרחה של הקשה ידנית על סוד ההתחלה שלך על ידי סריקה של סוג מיוחד של כתובת URL באמצעות קוד QR במקום זאת.
כתובות ה-URL המיוחדות של 2FA כוללות את שם החשבון ואת ה-Seed ההתחלתי מקודדים לתוכם, כך (הגבלנו את ה-Seed כאן ל-10 בתים, או 16 תווים בסיסיים של 32, כדי לשמור את כתובת האתר קצרה):
אתה בטח יכול לנחש לאן זה הולך.
כשאתה מדליק את מצלמת הטלפון הנייד שלך כדי לסרוק קודי 2FA מהסוג הזה, מפתה לצלם תחילה תמונה של הקודים, כדי להשתמש בהם כגיבוי...
...אבל אנו מפצירים בכם לא לעשות זאת, כי כל מי שיחזיק את התמונות הללו מאוחר יותר (למשל מחשבון הענן שלכם, או כי אתם מעבירים אותו בטעות) יכיר את הזרע הסודי שלכם, ויוכל באופן טריוויאלי ליצור את הזכות רצף של קודים בני שש ספרות.
כיצד, לפיכך, לגבות את נתוני ה-2FA שלך בצורה מהימנה מבלי לשמור עותקים בטקסט רגיל מהסודות הרב-בתים המציקים האלה?
Google Authenticator על המארז
ובכן, Google Authenticator החליט לאחרונה, אם באיחור, להתחיל להציע שירות "סנכרון חשבון" 2FA כך שתוכל לגבות את רצפי הקוד 2FA שלך לענן, ובהמשך לשחזר אותם למכשיר חדש, למשל אם תאבד או תחליף הטלפון שלך.
בתור כלי תקשורת אחד מְתוּאָר זה, "המאמת של Google מוסיף תכונה קריטית שחיכיתי לה אחרי 13 שנים."
אבל באיזו בטיחות מתבצעת העברת הנתונים בסנכרון חשבון זה?
האם נתוני הזרע הסודיים שלך מוצפנים במעבר לענן של גוגל?
כפי שאתה יכול לדמיין, חלק ההעלאה בענן של העברת סודות ה-2FA שלך אכן מוצפן, מכיוון שגוגל, כמו כל חברה שמודעת אבטחה שם בחוץ, השתמשה ב-HTTPS-ו-רק-HTTPS עבור כל התעבורה המבוססת על האינטרנט שלה כבר כמה שנים. .
אבל האם חשבונות 2FA שלך יכולים להיות מוצפנים עם ביטוי סיסמה שהוא ייחודי שלך עוד לפני שהם עוזבים את המכשיר שלך?
כך, לא ניתן ליירט אותם (בין אם כדין או לא), לזמן אותם, להדליף או לגנוב אותם בזמן שהם נמצאים באחסון בענן.
אחרי הכל, דרך אחרת לומר "בענן" היא פשוט "שמורה במחשב של מישהו אחר".
נחש מה?
חברינו לקוד האינדי והסייבר המתקוטטים ב @mysk_co, שעליו כתבנו כמה פעמים בעבר ב-Naked Security, החליטו לברר.
מה הם דיווחו לא נשמע מעודד במיוחד.
גוגל עדכנה זה עתה את אפליקציית 2FA Authenticator שלה והוסיפה תכונה נחוצה: היכולת לסנכרן סודות בין מכשירים.
TL;DR: אל תפעיל אותו.
העדכון החדש מאפשר למשתמשים להיכנס עם חשבון Google שלהם ולסנכרן סודות 2FA בין מכשירי iOS ואנדרואיד שלהם.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) אפריל 26, 2023
כפי שניתן לראות לעיל, @mysk_co טען את הדברים הבאים:
- פרטי חשבון 2FA שלך, כולל זרעים, לא הוצפנו בתוך מנות רשת ה-HTTPS שלהם. במילים אחרות, ברגע שההצפנה ברמת התחבורה פושטת לאחר הגעת ההעלאה, הזרעים שלך זמינים לגוגל, ובכך, במשתמע, לכל מי שיש לו צו חיפוש אחר הנתונים שלך.
- אין אפשרות לביטוי סיסמה להצפין את ההעלאה שלך לפני שהיא עוזבת את המכשיר שלך. כפי שצוות @mysc_co מציין, תכונה זו זמינה בעת סנכרון מידע מ-Google Chrome, כך שזה נראה מוזר שתהליך הסנכרון 2FA אינו מציע חווית משתמש דומה.
הנה כתובת האתר שנרקחה שהם יצרו כדי להגדיר חשבון 2FA חדש באפליקציית Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
והנה תפיסת מנות של תעבורת הרשת ש-Google Authenticator סינכרן עם הענן, כשההצפנה ברמת האבטחה של התחבורה (TLS) הופשטה:
שים לב שהתווים הקסדצימליים המודגשים תואמים ל-10 בתים הגולמיים של נתונים התואמים ל"סוד" הבסיס-32 בכתובת ה-URL למעלה:
$ luax Lua 5.4.5 זכויות יוצרים (C) 1994-2023 Lua.org, PUC-Rio __ ___(o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ נוסף המודולים המועדפים של Duck ב-package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FC00A
מה לעשות?
אנו מסכימים עם ההצעה של @mysk_co, שהיא, "אנו ממליצים להשתמש באפליקציה ללא תכונת הסנכרון החדשה לעת עתה."
אנחנו די בטוחים שגוגל תוסיף בקרוב תכונה של ביטוי סיסמה לתכונת הסנכרון 2FA, בהתחשב בעובדה שתכונה זו כבר קיים בדפדפן Chrome, כפי שמוסבר בדפי העזרה של Chrome עצמו:
השאר את המידע שלך פרטי
עם ביטוי סיסמה, אתה יכול להשתמש בענן של Google כדי לאחסן ולסנכרן את נתוני Chrome שלך מבלי לאפשר ל-Google לקרוא אותם. […] ביטויי סיסמה הם אופציונליים. הנתונים המסונכרנים שלך מוגנים תמיד על ידי הצפנה כשהם במעבר.
אם כבר סנכרנת את הזרעים שלך, אל תיבהל (הם לא שותפו עם גוגל בצורה שמקלה על כל אחד אחר לחטט אותם), אבל תצטרך לאפס את רצפי ה-2FA עבור כל החשבונות שעכשיו אתה מחליט שככל הנראה היית צריך לשמור לעצמך .
אחרי הכל, ייתכן שתגדיר את 2FA עבור שירותים מקוונים כגון חשבונות בנק שבהם התנאים וההגבלות מחייבים אותך לשמור את כל אישורי הכניסה לעצמך, כולל סיסמאות ו-seeds, ולעולם לא לשתף אותם עם אף אחד, אפילו לא עם גוגל.
אם אתה נוהג לצלם תמונות של קודי QR עבור זרעי ה-2FA שלך בכל מקרה, בלי לחשוב יותר מדי על זה, אנו ממליצים שלא.
כפי שאנו אוהבים לומר על אבטחה עירומה: אם יש ספק / אל תמסור אותו.
נתונים שאתם שומרים לעצמכם אינם יכולים לדלוף, או להיגנב, או לזימון, או לחלוק עם צדדים שלישיים מכל סוג שהוא, בין אם בכוונה או בטעות.
עדכון. לגוגל יש הגיב בטוויטר לדו"ח @mysk_co על ידי הודאה כי היא פרסמה בכוונה את תכונת סנכרון חשבון 2FA ללא מה שנקרא הצפנה מקצה לקצה (E2EE), אך טענה כי החברה "מתכננת להציע E2EE עבור Google Authenticator בהמשך הקו." עוד נמסר מהחברה כי "האפשרות להשתמש באפליקציה במצב לא מקוון תישאר אלטרנטיבה עבור אלה שמעדיפים לנהל את אסטרטגיית הגיבוי שלהם בעצמם". [2023-04-26T18:37Z]
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- יכולת
- יכול
- אודות
- בנוגע לזה
- מֵעַל
- מוּחלָט
- גישה
- חֶשְׁבּוֹן
- חשבונות
- לרוחב
- להוסיף
- הוסיף
- מוסיף
- נוסף
- מוסיף
- לאחר
- נגד
- תעשיות
- מאפשר
- כְּבָר
- גם
- חלופה
- תמיד
- an
- ו
- דְמוּי אָדָם
- אחר
- כל
- כל אחד
- האפליקציה
- תפוח עץ
- אפליקציות
- ARE
- מגיע
- AS
- At
- מחבר
- המכונית
- זמין
- לְהִמָנַע
- בחזרה
- רקע תמונה
- גיבוי
- בנק
- חשבונות בנק
- בסיס
- מבוסס
- BE
- כי
- לפני
- גבול
- לִלווֹת
- תַחתִית
- מביא
- דפדפן
- אבל
- לִקְנוֹת
- by
- מחושב
- שיחות
- חדר
- CAN
- בזהירות
- מקרה
- מרכז
- סיכוי
- שינוי
- שינויים
- תווים
- כימי
- שבב
- שבבי
- Chrome
- דפדפן כרום
- נתבע
- ענן
- אחסון ענן
- קוד
- צֶבַע
- משולב
- בדרך כלל
- חברה
- המחשב
- תנאים
- מקובל
- זכויות יוצרים
- קורס
- לכסות
- אישורים
- קריטי
- אבטחת סייבר
- מסוכן
- נתונים
- תַאֲרִיך
- להחליט
- החליט
- פרטים
- מכשיר
- התקנים
- לחפור
- ספרות
- לְהַצִיג
- do
- עושה
- לא
- דון
- לא
- מטה
- קל
- או
- של אחרים
- מעודד
- מוצפן
- הצף
- מקצה לקצה
- הזנת
- אֲפִילוּ
- כל
- דוגמה
- ניסיון
- להסביר
- מוסבר
- מאפיין
- מומלצים
- תרשים
- אש
- ראשון
- הבא
- בעד
- קדימה
- חברים
- החל מ-
- ליצור
- נוצר
- לקבל
- לתת
- נתן
- הולך
- Google Chrome
- גוגל
- לתפוס
- יש
- גובה
- לעזור
- כאן
- מודגש
- להחזיק
- לרחף
- איך
- HTTPS
- if
- תמונה
- in
- באחר
- לכלול
- כולל
- מידע
- מידע
- במקום
- בכוונה
- מעניין
- אינטרסים
- אל תוך
- iOS
- IT
- שֶׁלָה
- לקפוץ
- רק
- שמור
- שמירה
- לדעת
- ידוע
- מחשב נייד
- מאוחר יותר
- לדלוף
- יציאה
- לתת
- לתת
- רמה
- כמו
- מוגבל
- קו
- התחבר
- המיוחל
- נראה
- נראה כמו
- נראה
- להפסיד
- עושה
- תוכנות זדוניות
- לנהל
- באופן ידני
- שולים
- להתאים
- max-width
- מאי..
- אומר
- מדיה
- מיקרוסקופיה
- טעות
- סלולרי
- טלפון סלולרי
- מודרני
- מודולים
- חודשים
- יותר
- הרבה
- נחוץ מאוד
- ביטחון עירום
- שם
- כלומר
- צורך
- רשת
- תנועת רשת
- חדש
- חדשות
- לא
- נוֹרמָלִי
- עַכשָׁיו
- מספר
- רב
- of
- כבוי
- הַצָעָה
- הצעה
- לא מחובר
- לעתים קרובות
- on
- פעם
- ONE
- באינטרנט
- אפשרות
- or
- אחר
- הַחוּצָה
- יותר
- שֶׁלוֹ
- חבילה
- מנות
- בהלה
- חלק
- צדדים
- סיסמה
- סיסמאות
- פול
- מציץ
- אוּלַי
- אישי
- טלפון
- טלפונים
- תמונות
- תמונות
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- עמדה
- הודעות
- לחזות
- לְהַעֲדִיף
- יפה
- כנראה
- בעיה
- תהליך
- תוכניות
- מוּגָן
- QR קוד
- qr-קודים
- אקראי
- חי
- חומר עיוני
- לאחרונה
- להמליץ
- הקלטה
- רגיל
- שוחרר
- להשאר
- להחליף
- לדווח
- לדרוש
- חוקרים
- לשחזר
- באופן שגרתי
- הפעלה
- s
- בבטחה
- אותו
- אמר
- סריקה
- סריקה
- חיפוש
- שְׁנִיָה
- שניות
- סוד
- לבטח
- אבטחה
- לִרְאוֹת
- זרע
- זרעים
- נראה
- רצף
- שרות
- שירותים
- סט
- כמה
- שיתוף
- משותף
- קצר
- צריך
- סִימָן
- דומה
- בפשטות
- שישה
- צמד
- לחטט
- So
- מוצק
- מישהו
- קול
- מיוחד
- התחלה
- להתחיל להציע
- החל
- התחלות
- אמור
- להשאר
- גָנוּב
- אחסון
- חנות
- מאוחסן
- סיפורים
- ישר
- אִסטרָטֶגִיָה
- מחרוזת
- בְּתוֹקֶף
- כזה
- SVG
- מתג
- לוּחַ
- לקחת
- חסין חבלה
- נבחרת
- מונחים
- תנאים
- מֵאֲשֶׁר
- זֶה
- השמיים
- השורה
- שֶׁלָהֶם
- אותם
- אז
- שם.
- לכן
- הֵם
- חושב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אלה
- זמן
- פִּי
- ל
- היום
- גַם
- חלק עליון
- לעקוב
- תְנוּעָה
- להעביר
- מעביר
- מעבר
- מַעֲבָר
- שָׁקוּף
- להעביר
- נָכוֹן
- תור
- סוג
- בדרך כלל
- באופן ייחודי
- לפתוח
- לא בשימוש
- עדכון
- מְעוּדכָּן
- כתובת האתר
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- חוויית משתמש
- משתמשים
- באמצעות
- בְּדֶרֶך כְּלַל
- באמצעות
- לְבַקֵר
- רוצה
- אחריות
- דֶרֶך..
- דרכים
- we
- המבוסס על האינטרנט
- אתר
- שבועות
- היו
- מה
- מתי
- בכל פעם
- אם
- אשר
- בזמן
- מי
- רוחב
- יצטרך
- עם
- לְלֹא
- מילים
- כתוב
- שנים
- עוד
- אתה
- עצמך
- זפירנט
- אפס