De Google Authenticator 2FA-appen har vist seg sterkt i cybersikkerhetsnyheter i det siste, med Google som har lagt til en funksjon som lar deg sikkerhetskopiere 2FA-dataene dine til skyen og deretter gjenopprette dem på andre enheter.
For å forklare, en 2FA (tofaktorautentisering) app er et av de programmene du kjører på mobiltelefonen eller nettbrettet for å generere engangspåloggingskoder som bidrar til å sikre nettkontoene dine med mer enn bare et passord.
Problemet med konvensjonelle passord er at det er mange måter skurker kan tigge, stjele eller låne dem på.
Det er skuldersurfing, hvor en skurk i din midte titter over skulderen din mens du skriver det inn; det er inspirert gjetting, hvor du har brukt en setning som en kjeltring kan forutsi basert på dine personlige interesser; det er phishing, hvor du blir lokket til å overlevere passordet ditt til en bedrager; og det er det keylogging, der skadelig programvare som allerede er implantert på datamaskinen din holder styr på hva du skriver og begynner å ta opp i all hemmelighet hver gang du besøker et nettsted som ser interessant ut.
Og fordi konvensjonelle passord vanligvis forblir de samme fra pålogging til pålogging, kan skurker som finner ut et passord i dag, ofte ganske enkelt bruke det om og om igjen når de er i ro, ofte i uker, kanskje i måneder, og noen ganger til og med i årevis.
Så 2FA-apper, med deres engangspåloggingskoder, utvider det vanlige passordet ditt med en ekstra hemmelighet, vanligvis et sekssifret nummer, som endres hver gang.
Telefonen din som en annen faktor
De sekssifrede kodene som vanligvis genereres av 2FA-apper, beregnes rett på telefonen din, ikke på den bærbare datamaskinen; de er basert på en "frø" eller "startnøkkel" som er lagret på telefonen din; og de er beskyttet av låsekoden på telefonen din, ikke av passord du rutinemessig skriver inn på den bærbare datamaskinen.
På den måten kan ikke skurker som tigger, låner eller stjeler ditt vanlige passord bare hoppe rett inn på kontoen din.
Disse angriperne trenger også tilgang til telefonen din, og de må kunne låse opp telefonen for å kjøre appen og få engangskoden. (Kodene er vanligvis basert på dato og klokkeslett til nærmeste halve minutt, så de endres hvert 30. sekund.)
Enda bedre, moderne telefoner inkluderer manipulasjonssikre sikre lagringsbrikker (Apple kaller deres Sikker enklave; Googles er kjent som Titan) som holder på hemmelighetene sine selv om du klarer å løsne brikken og prøve å grave data ut av den offline via elektriske miniatyrsonder, eller ved kjemisk etsing kombinert med elektronmikroskopi.
Selvfølgelig bringer denne "løsningen" med seg et eget problem, nemlig: hvordan sikkerhetskopierer du de viktige 2FA-frøene i tilfelle du mister telefonen, eller kjøper en ny og vil bytte til den?
Den farlige måten å sikkerhetskopiere frø på
De fleste nettjenester krever at du setter opp en 2FA-kodesekvens for en ny konto ved å skrive inn en 20-byte streng med tilfeldige data, noe som betyr møysommelig å skrive inn enten 40 heksadesimale (base-16) tegn, en for hver halvbyte, eller ved å legge inn 32 tegn nøye i base-32-koding, som bruker tegnene A
til Z
og de seks sifrene 234567
(null og en er ubrukt fordi de ser ut som O-for-Oscar og I-for-India).
Bortsett fra at du vanligvis får sjansen til å unngå bryet med å manuelt trykke inn starthemmeligheten din ved å skanne inn en spesiell type URL via en QR-kode i stedet.
Disse spesielle 2FA-URLene har kontonavnet og startfrøet kodet inn i seg, slik (vi begrenset seedet her til 10 byte, eller 16 base-32 tegn, for å holde nettadressen kort):
Du kan sikkert gjette hvor dette går.
Når du fyrer opp mobiltelefonkameraet ditt for å skanne inn 2FA-koder av denne typen, er det fristende å ta et bilde av kodene først, for å bruke som sikkerhetskopi...
…men vi oppfordrer deg til å ikke gjøre det, fordi alle som får tak i disse bildene senere (for eksempel fra skykontoen din, eller fordi du videresender det ved en feiltakelse) vil kjenne ditt hemmelige frø, og vil trivielt kunne generere rettighetene sekvens av sekssifrede koder.
Hvordan sikkerhetskopiere 2FA-dataene dine på en pålitelig måte uten å beholde klartekstkopier av de irriterende multi-byte-hemmelighetene?
Google Authenticator på saken
Vel, Google Authenticator bestemte seg nylig, hvis forsinket, for å begynne å tilby en 2FA "kontosynkronisering"-tjeneste slik at du kan sikkerhetskopiere 2FA-kodesekvensene dine til skyen, og senere gjenopprette dem til en ny enhet, for eksempel hvis du mister eller erstatter din telefon.
Som ett medie beskrevet den, "Google Authenticator legger til en kritisk etterlengtet funksjon etter 13 år."
Men hvor sikkert foregår denne kontosynkroniseringsdataoverføringen?
Er de hemmelige frødataene dine kryptert under overføring til Googles sky?
Som du kan forestille deg, er skyopplastingsdelen av overføring av 2FA-hemmelighetene dine faktisk kryptert, fordi Google, som alle sikkerhetsbevisste selskaper der ute, har brukt HTTPS-og-bare-HTTPS for all sin nettbaserte trafikk i flere år nå .
Men kan 2FA-kontoene dine krypteres med en passordfrase som er unik for deg før de forlater enheten din?
På den måten kan de ikke avskjæres (enten lovlig eller ikke), stevnes, lekkes eller stjeles mens de er i skylagring.
Tross alt er en annen måte å si "i skyen" ganske enkelt "lagret på en annens datamaskin".
Gjett hva?
Våre indie-koder og cybersikkerhet-kranglevenner på @mysk_co, som vi har skrevet om flere ganger tidligere på Naked Security, bestemte seg for å finne ut av det.
Hva de rapporterte høres ikke spesielt oppmuntrende ut.
Google har nettopp oppdatert sin 2FA Authenticator-app og lagt til en sårt tiltrengt funksjon: muligheten til å synkronisere hemmeligheter på tvers av enheter.
TL;DR: Ikke slå den på.
Den nye oppdateringen lar brukere logge på med Google-kontoen sin og synkronisere 2FA-hemmeligheter på tvers av iOS- og Android-enhetene sine. pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Som du kan se ovenfor, hevdet @mysk_co følgende:
- 2FA-kontodetaljene dine, inkludert frø, var ukryptert i HTTPS-nettverkspakkene deres. Med andre ord, når krypteringen på transportnivå er fjernet etter at opplastingen ankommer, er frøene dine tilgjengelige for Google, og dermed implisitt for alle som har en ransakingsordre for dataene dine.
- Det er ingen passordfrasealternativ for å kryptere opplastingen din før den forlater enheten. Som @mysc_co-teamet påpeker, er denne funksjonen tilgjengelig når du synkroniserer informasjon fra Google Chrome, så det virker rart at 2FA-synkroniseringsprosessen ikke tilbyr en lignende brukeropplevelse.
Her er den sammensatte nettadressen de genererte for å sette opp en ny 2FA-konto i Google Authenticator-appen:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Og her er et pakkegrep av nettverkstrafikken som Google Authenticator synkroniserte med skyen, med TLS-krypteringen (Transport Level Security) fjernet:
Merk at de uthevede heksadesimale tegnene samsvarer med de rå 10 bytene med data som tilsvarer base-32 "hemmeligheten" i URL-en ovenfor:
$ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Lagt til Ducks favorittmoduler i package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FC00A
Hva gjør jeg?
Vi er enige i @mysk_co sitt forslag, som er, "Vi anbefaler å bruke appen uten den nye synkroniseringsfunksjonen for nå."
Vi er ganske sikre på at Google snart vil legge til en passordfrasefunksjon til 2FA-synkroniseringsfunksjonen, gitt at denne funksjonen eksisterer allerede i Chrome-nettleseren, som forklart på Chromes egne hjelpesider:
Hold informasjonen din privat
Med en passordfrase kan du bruke Googles sky til å lagre og synkronisere Chrome-dataene dine uten å la Google lese dem. […] Passfraser er valgfrie. Dine synkroniserte data er alltid beskyttet av kryptering når de er under overføring.
Hvis du allerede har synkronisert frøene dine, ikke få panikk (de ble ikke delt med Google på en måte som gjør det enkelt for andre å snoke dem ut), men du må tilbakestille 2FA-sekvensene for alle kontoer du nå bestemmer deg for at du sannsynligvis burde ha holdt for deg selv .
Tross alt kan du ha 2FA satt opp for nettjenester som bankkontoer der vilkårene og betingelsene krever at du holder all påloggingsinformasjon for deg selv, inkludert passord og frø, og aldri deler dem med noen, ikke engang Google.
Hvis du har for vane å ta bilder av QR-kodene for 2FA-frøene dine uansett, uten å tenke for mye over det, anbefaler vi at du ikke gjør det.
Som vi liker å si om Naked Security: Hvis du er i tvil / ikke gi det ut.
Data som du holder for deg selv kan ikke lekke, eller bli stjålet, eller stevnet eller delt videre med tredjeparter av noe slag, enten det er bevisst eller ved en feiltakelse.
Update. Google har svarte på Twitter til @mysk_cos rapport ved å innrømme at det med vilje ga ut 2FA-kontosynkroniseringsfunksjonen uten såkalt ende-til-ende-kryptering (E2EE), men hevdet at selskapet har "planlegger å tilby E2EE for Google Authenticator nedover linjen." Selskapet uttalte også at "muligheten til å bruke appen offline vil fortsatt være et alternativ for de som foretrekker å administrere backupstrategien sin selv». [2023-04-26T18:37Z]
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- evne
- I stand
- Om oss
- om det
- ovenfor
- Absolute
- adgang
- Logg inn
- kontoer
- tvers
- legge til
- la til
- legge
- Ytterligere
- Legger
- Etter
- mot
- Alle
- tillater
- allerede
- også
- alternativ
- alltid
- an
- og
- android
- En annen
- noen
- noen
- app
- eple
- apps
- ER
- ankommer
- AS
- At
- forfatter
- auto
- tilgjengelig
- unngå
- tilbake
- background-image
- Backup
- Bank
- bankkontoer
- basen
- basert
- BE
- fordi
- før du
- grensen
- låne
- Bunn
- Bringer
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- men
- kjøpe
- by
- beregnet
- Samtaler
- rom
- CAN
- nøye
- saken
- sentrum
- sjanse
- endring
- Endringer
- tegn
- kjemisk
- chip
- chips
- Chrome
- kromleser
- hevdet
- Cloud
- sky lagring
- kode
- farge
- kombinert
- vanligvis
- Selskapet
- datamaskin
- forhold
- konvensjonell
- copyright
- Kurs
- dekke
- Credentials
- kritisk
- Cybersecurity
- Dangerous
- dato
- Dato
- bestemme
- besluttet
- detaljer
- enhet
- Enheter
- DIG
- sifre
- Vise
- do
- gjør
- ikke
- Don
- ikke
- ned
- lett
- enten
- Else's
- oppmuntrende
- kryptert
- kryptering
- ende til ende
- går inn
- Selv
- Hver
- eksempel
- erfaring
- Forklar
- forklarte
- Trekk
- kjennetegnet
- Figur
- Finn
- Brann
- Først
- etter
- Til
- Forward
- venner
- fra
- generere
- generert
- få
- Gi
- gitt
- skal
- Google Chrome
- Googles
- grip
- Ha
- høyde
- hjelpe
- her.
- Fremhevet
- hold
- hover
- Hvordan
- HTTPS
- if
- forestille
- in
- I andre
- inkludere
- Inkludert
- info
- informasjon
- i stedet
- med hensikt
- interessant
- interesser
- inn
- iOS
- IT
- DET ER
- hoppe
- bare
- Hold
- holde
- Vet
- kjent
- laptop
- seinere
- lekke
- Permisjon
- la
- utleie
- Nivå
- i likhet med
- Begrenset
- linje
- Logg inn
- etterlengtede
- Se
- ser ut som
- UTSEENDE
- taper
- GJØR AT
- malware
- administrer
- manuelt
- Margin
- Match
- max bredde
- Kan..
- midler
- Media
- mikros~~POS=TRUNC
- feil
- Mobil
- mobiltelefon
- Moderne
- Moduler
- måneder
- mer
- mye
- sårt tiltrengte
- Naken sikkerhet
- navn
- nemlig
- Trenger
- nettverk
- nettverkstrafikk
- Ny
- nyheter
- Nei.
- normal
- nå
- Antall
- mange
- of
- off
- tilby
- tilby
- offline
- ofte
- on
- gang
- ONE
- på nett
- Alternativ
- or
- Annen
- ut
- enn
- egen
- pakke
- pakker
- Panic
- del
- parter
- Passord
- passord
- paul
- titter
- kanskje
- personlig
- telefon
- telefoner
- Bilder
- Bilder
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- Point
- posisjon
- innlegg
- forutsi
- trekker
- pen
- sannsynligvis
- Problem
- prosess
- programmer
- beskyttet
- QR kode
- qr-koder
- tilfeldig
- Raw
- Lese
- nylig
- anbefaler
- innspilling
- regelmessig
- utgitt
- forbli
- erstatte
- rapporterer
- krever
- forskere
- gjenopprette
- rutinemessig
- Kjør
- s
- trygt
- samme
- sier
- skanne
- skanning
- Søk
- Sekund
- sekunder
- Secret
- sikre
- sikkerhet
- se
- seed
- frø
- synes
- Sequence
- tjeneste
- Tjenester
- sett
- flere
- Del
- delt
- Kort
- bør
- undertegne
- lignende
- ganske enkelt
- SIX
- Snap
- Snoop
- So
- solid
- Noen
- Lyd
- spesiell
- Begynn
- begynn å tilby
- Start
- starter
- uttalte
- opphold
- stjålet
- lagring
- oppbevare
- lagret
- Stories
- rett
- Strategi
- String
- sterk
- slik
- SVG
- Bytte om
- Tablett
- Ta
- manipulasjonssikker
- lag
- vilkår
- vilkår og betingelser
- enn
- Det
- De
- Køen
- deres
- Dem
- deretter
- Der.
- derfor
- de
- tenker
- Tredje
- tredjeparter
- denne
- De
- tid
- ganger
- til
- i dag
- også
- topp
- spor
- trafikk
- overføre
- Overføre
- transitt
- overgang
- gjennomsiktig
- transportere
- sant
- SVING
- typen
- typisk
- unikt
- låse opp
- ubrukt
- Oppdater
- oppdatert
- URL
- bruke
- brukt
- Bruker
- Brukererfaring
- Brukere
- ved hjelp av
- vanligvis
- av
- Besøk
- ønsker
- Warrant
- Vei..
- måter
- we
- Web-basert
- Nettsted
- uker
- var
- Hva
- når
- når som helst
- om
- hvilken
- mens
- HVEM
- bredde
- vil
- med
- uten
- ord
- skrevet
- år
- ennå
- Du
- Din
- deg selv
- zephyrnet
- null