A Google Authenticator O aplicativo 2FA tem destaque nas notícias de segurança cibernética recentemente, com o Google adicionando um recurso para permitir que você faça backup de seus dados 2FA na nuvem e depois restaure-os em outros dispositivos.
Para explicar, um 2FA (autenticação de dois fatores) é um daqueles programas que você executa em seu celular ou tablet para gerar códigos de login únicos que ajudam a proteger suas contas online com mais do que apenas uma senha.
O problema com as senhas convencionais é que existem várias maneiras pelas quais os bandidos podem mendigá-las, roubá-las ou pegá-las emprestadas.
Há surf de ombro, onde um ladino no meio de você espia por cima do seu ombro enquanto você digita; há adivinhação inspirada, onde você usou uma frase que um bandido pode prever com base em seus interesses pessoais; há Phishing, onde você é induzido a entregar sua senha a um impostor; e há keylogging, onde o malware já implantado em seu computador rastreia o que você digita e secretamente começa a gravar sempre que você visita um site que parece interessante.
E como as senhas convencionais geralmente permanecem as mesmas de login para login, os criminosos que descobrem uma senha hoje podem simplesmente usá-la repetidamente em seu lazer, geralmente por semanas, talvez meses e às vezes até anos.
Portanto, os aplicativos 2FA, com seus códigos de login únicos, aumentam sua senha regular com um segredo adicional, geralmente um número de seis dígitos, que muda sempre.
Seu telefone como segundo fator
Os códigos de seis dígitos comumente gerados por aplicativos 2FA são calculados diretamente em seu telefone, não em seu laptop; eles são baseados em uma “semente” ou “chave inicial” armazenada em seu telefone; e eles são protegidos pelo código de bloqueio do telefone, não por senhas que você digita rotineiramente no laptop.
Dessa forma, bandidos que imploram, pedem emprestado ou roubam sua senha normal não podem simplesmente acessar sua conta.
Esses invasores também precisam acessar seu telefone e precisam desbloquear seu telefone para executar o aplicativo e obter o código único. (Os códigos geralmente são baseados na data e hora até o meio minuto mais próximo, então eles mudam a cada 30 segundos.)
Melhor ainda, os telefones modernos incluem chips de armazenamento seguro à prova de violação (a Apple chama o deles de Enclave Seguro; O Google é conhecido como Titan) que mantêm seus segredos mesmo se você conseguir desconectar o chip e tentar extrair dados dele offline por meio de sondas elétricas em miniatura ou por corrosão química combinada com microscopia eletrônica.
Obviamente, essa “solução” traz consigo um problema próprio, a saber: como você faz backup dessas importantes sementes 2FA caso perca seu telefone ou compre um novo e queira mudar para ele?
A maneira perigosa de fazer backup de sementes
A maioria dos serviços online exige que você configure uma sequência de código 2FA para uma nova conta inserindo uma sequência de 20 bytes de dados aleatórios, o que significa digitar laboriosamente 40 caracteres hexadecimais (base 16), um para cada meio byte, ou inserindo cuidadosamente 32 caracteres na codificação de base 32, que usa os caracteres A
para Z
e os seis dígitos 234567
(zero e um não são usados porque se parecem com O-para-Oscar e I-para-Índia).
Exceto que você geralmente tem a chance de evitar o incômodo de tocar manualmente em seu segredo inicial, digitalizando um tipo especial de URL por meio de um código QR.
Essas URLs 2FA especiais têm o nome da conta e a semente inicial codificadas nelas, assim (limitamos a semente aqui a 10 bytes ou 16 caracteres de base 32, para manter a URL curta):
Você provavelmente pode adivinhar onde isso está indo.
Quando você liga a câmera do seu celular para digitalizar códigos 2FA desse tipo, é tentador tirar uma foto dos códigos primeiro, para usar como backup…
…mas pedimos que você não faça isso, porque qualquer pessoa que se apossar dessas fotos posteriormente (por exemplo, de sua conta na nuvem, ou porque você as encaminhou por engano) conhecerá sua semente secreta e poderá trivialmente gerar o direito seqüência de códigos de seis dígitos.
Como, portanto, fazer backup de seus dados 2FA de forma confiável sem manter cópias de texto simples daqueles segredos incômodos de vários bytes?
Google Authenticator no caso
Bem, o Google Authenticator recentemente, embora tardiamente, decidiu começar a oferecer um serviço de “sincronização de conta” 2FA para que você possa fazer backup de suas sequências de código 2FA na nuvem e depois restaurá-las em um novo dispositivo, por exemplo, se você perder ou substituir seu telefone.
Como um meio de comunicação descrito lo, “O Google Authenticator adiciona um recurso crítico há muito esperado após 13 anos.”
Mas com que segurança essa transferência de dados de sincronização de conta ocorre?
Seus dados semente secretos são criptografados em trânsito para a nuvem do Google?
Como você pode imaginar, a parte do upload na nuvem da transferência de seus segredos 2FA é realmente criptografada, porque o Google, como todas as empresas preocupadas com a segurança, usa HTTPS e somente HTTPS para todo o tráfego baseado na web há vários anos. .
Mas suas contas 2FA podem ser criptografadas com uma senha que é exclusivamente sua? antes mesmo de saírem do seu dispositivo?
Dessa forma, eles não podem ser interceptados (legalmente ou não), intimados, vazados ou roubados enquanto estiverem armazenados em nuvem.
Afinal, outra forma de dizer “na nuvem” é simplesmente “salvo no computador de outra pessoa”.
Adivinha?
Nossos amigos codificadores independentes e cibersegurança da @mysk_co, sobre quem já escrevemos várias vezes no Naked Security, decidiu descobrir.
O Quê eles relataram não soa muito encorajador.
O Google acaba de atualizar seu aplicativo 2FA Authenticator e adicionou um recurso muito necessário: a capacidade de sincronizar segredos entre dispositivos.
TL;DR: Não ligue.
A nova atualização permite que os usuários façam login com sua Conta do Google e sincronizem segredos 2FA em seus dispositivos iOS e Android.… pic.twitter.com/a8hhelupZR
- Mysk 🇨🇦🇩🇪 (@mysk_co) 26 de abril de 2023
Como você pode ver acima, @mysk_co reivindicou o seguinte:
- Os detalhes da sua conta 2FA, incluindo sementes, não foram criptografados dentro de seus pacotes de rede HTTPS. Em outras palavras, uma vez que a criptografia de nível de transporte é removida após a chegada do upload, suas sementes estão disponíveis para o Google e, portanto, por implicação, para qualquer pessoa com um mandado de busca para seus dados.
- Não há opção de frase secreta para criptografar seu upload antes que ele saia do seu dispositivo. Como aponta a equipe @mysc_co, esse recurso está disponível ao sincronizar informações do Google Chrome, por isso parece estranho que o processo de sincronização 2FA não ofereça uma experiência de usuário semelhante.
Aqui está o URL inventado que eles geraram para configurar uma nova conta 2FA no aplicativo Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
E aqui está uma captura de pacote do tráfego de rede que o Google Authenticator sincronizou com a nuvem, com a criptografia de segurança de nível de transporte (TLS) removida:
Observe que os caracteres hexadecimais destacados correspondem aos 10 bytes brutos de dados que correspondem ao “segredo” de base 32 na URL acima:
$ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Adicionados os módulos favoritos de Duck em package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC
O que fazer?
Concordamos com a sugestão de @mysk_co, que é, “Recomendamos usar o aplicativo sem o novo recurso de sincronização por enquanto.”
Temos certeza de que o Google adicionará um recurso de senha ao recurso de sincronização 2FA em breve, já que esse recurso já existe no navegador Chrome, conforme explicado nas próprias páginas de ajuda do Chrome:
Mantenha suas informações privadas
Com uma senha, você pode usar a nuvem do Google para armazenar e sincronizar seus dados do Chrome sem permitir que o Google os leia. [...] Frases secretas são opcionais. Seus dados sincronizados são sempre protegidos por criptografia quando estão em trânsito.
Se você já sincronizou suas sementes, não entre em pânico (eles não foram compartilhados com o Google de uma forma que torne mais fácil para qualquer outra pessoa bisbilhotar), mas você precisará redefinir as sequências 2FA para todas as contas que agora decidir que provavelmente deveria ter guardado para si mesmo .
Afinal, você pode ter 2FA configurado para serviços online, como contas bancárias, onde os termos e condições exigem que você mantenha todas as credenciais de login para si mesmo, incluindo senhas e sementes, e nunca as compartilhe com ninguém, nem mesmo com o Google.
Se você tem o hábito de tirar fotos dos códigos QR para suas sementes 2FA, sem pensar muito nisso, recomendamos que não o faça.
Como gostamos de dizer no Naked Security: Em caso de dúvida / Não dê.
Os dados que você guarda para si mesmo não podem vazar, ser roubados, intimados ou compartilhados com terceiros de qualquer tipo, seja deliberadamente ou por engano.
Update. Google tem respondeu no Twitter ao relatório de @mysk_co, admitindo que lançou intencionalmente o recurso de sincronização de conta 2FA sem a chamada criptografia de ponta a ponta (E2EE), mas alegou que a empresa “planeja oferecer E2EE para o Google Authenticator no futuro.” A empresa também afirmou que “a opção de usar o aplicativo off-line continuará sendo uma alternativa para quem prefere gerenciar sua própria estratégia de backup”. [2023-04-26T18:37Z]
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- habilidade
- Capaz
- Sobre
- sobre isso
- acima
- absoluto
- Acesso
- Conta
- Contas
- em
- adicionar
- adicionado
- acrescentando
- Adicional
- Adiciona
- Depois de
- contra
- Todos os Produtos
- permite
- já
- tb
- alternativa
- sempre
- an
- e
- andróide
- Outro
- qualquer
- qualquer um
- app
- Apple
- Aplicativos
- SOMOS
- Chega
- AS
- At
- autor
- auto
- disponível
- evitar
- em caminho duplo
- background-image
- backup
- Bank
- contas bancárias
- base
- baseado
- BE
- Porque
- antes
- fronteira
- pedir emprestado
- Inferior
- Traz
- navegador
- mas a
- comprar
- by
- calculado
- chamadas
- Câmera
- CAN
- cuidadosamente
- casas
- Centralização de
- chance
- alterar
- Alterações
- caracteres
- químico
- lasca
- Chips
- Chrome
- navegador chrome
- afirmou
- Na nuvem
- armazenamento em nuvem
- código
- cor
- combinado
- geralmente
- Empresa
- computador
- condições
- convencional
- direitos autorais
- Para
- cobrir
- Credenciais
- crítico
- Cíber segurança
- Perigoso
- dados,
- Data
- decidir
- decidido
- detalhes
- dispositivo
- Dispositivos/Instrumentos
- DIG
- dígitos
- Ecrã
- do
- parece
- Não faz
- don
- não
- down
- fácil
- ou
- Else's
- animador
- criptografada
- criptografia
- end-to-end
- entrar
- Mesmo
- Cada
- exemplo
- vasta experiência
- Explicação
- explicado
- Característica
- destaque
- Figura
- Encontre
- Fogo
- Primeiro nome
- seguinte
- Escolha
- para a frente
- amigos
- da
- gerar
- gerado
- ter
- OFERTE
- dado
- vai
- Google Chrome
- agarrar
- Ter
- altura
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Destaque
- segurar
- pairar
- Como funciona o dobrador de carta de canal
- HTTPS
- if
- fotografia
- in
- Em outra
- incluir
- Incluindo
- info
- INFORMAÇÕES
- em vez disso
- intencionalmente
- interessante
- interesses
- para dentro
- iOS
- IT
- ESTÁ
- saltar
- apenas por
- Guarda
- manutenção
- Saber
- conhecido
- laptop
- mais tarde
- vazar
- Deixar
- deixar
- de locação
- Nível
- como
- Limitado
- Line
- entrar
- muito esperado
- olhar
- parece
- OLHARES
- perder
- FAZ
- malwares
- gerencia
- manualmente
- Margem
- Match
- max-width
- Posso..
- significa
- Mídia
- Microscopia
- erro
- Móvel Esteira
- telefone móvel
- EQUIPAMENTOS
- Módulos
- mês
- mais
- muito
- muito necessário
- Segurança nua
- nome
- nomeadamente
- você merece...
- rede
- tráfego de rede
- Novo
- notícias
- não
- normal
- agora
- número
- numeroso
- of
- WOW!
- oferecer
- oferecendo treinamento para distância
- modo offline
- frequentemente
- on
- uma vez
- ONE
- online
- Opção
- or
- Outros
- Fora
- Acima de
- próprio
- pacote
- pacotes
- Pânico
- parte
- partes
- Senha
- senhas
- Paul
- espreita
- possivelmente
- pessoal
- telefone
- telefones
- Fotos
- FOTOS
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- posição
- POSTAGENS
- predizer
- preferir
- bastante
- provavelmente
- Problema
- processo
- Programas
- protegido
- QR code
- códigos QR
- acaso
- Cru
- Leia
- recentemente
- recomendar
- gravação
- regular
- liberado
- permanecem
- substituir
- Denunciar
- requerer
- pesquisadores
- restaurar
- rotineiramente
- Execute
- s
- seguramente
- mesmo
- dizendo
- digitalização
- exploração
- Pesquisar
- Segundo
- segundo
- Segredo
- seguro
- segurança
- Vejo
- semente
- SEEDS
- parece
- Seqüência
- serviço
- Serviços
- conjunto
- vários
- Partilhar
- compartilhado
- Baixo
- rede de apoio social
- assinar
- semelhante
- simplesmente
- SIX
- estalo
- bisbilhotar
- So
- sólido
- Alguém
- Parecer
- especial
- começo
- começar a oferecer
- Comece
- começa
- estabelecido
- ficar
- roubado
- armazenamento
- loja
- armazenadas
- Histórias
- direto
- Estratégia
- Tanga
- discordaram
- tal
- SVG
- Interruptor
- Tablet
- Tire
- inviolável
- Profissionais
- condições
- termos e condições
- do que
- que
- A
- A linha
- deles
- Eles
- então
- Lá.
- assim sendo
- deles
- Pensando
- Terceiro
- terceiro
- isto
- aqueles
- tempo
- vezes
- para
- hoje
- também
- topo
- pista
- tráfego
- transferência
- Transferir
- trânsito
- transição
- transparente
- transporte
- verdadeiro
- VIRAR
- tipo
- tipicamente
- unicamente
- destravar
- não usado
- Atualizar
- Atualizada
- URL
- usar
- usava
- Utilizador
- Experiência do Usuário
- usuários
- utilização
- geralmente
- via
- Visite a
- queremos
- Garantia
- Caminho..
- maneiras
- we
- Web-Based
- Site
- semanas
- foram
- O Quê
- quando
- sempre que
- se
- qual
- enquanto
- QUEM
- largura
- precisarão
- de
- sem
- palavras
- escrito
- anos
- ainda
- Vocês
- investimentos
- você mesmo
- zefirnet
- zero