Google Authenticator Aplicația 2FA a apărut puternic în știrile despre securitatea cibernetică în ultima vreme, Google adăugând o funcție care vă permite să faceți backup în cloud a datelor dvs. 2FA și apoi să le restaurați pe alte dispozitive.
Pentru a explica, un 2FA (autentificare cu două factori) este unul dintre acele programe pe care le rulați pe telefonul mobil sau pe tabletă pentru a genera coduri de conectare unice care vă ajută să vă securizați conturile online cu mai mult decât o parolă.
Problema parolelor convenționale este că există numeroase moduri prin care escrocii le pot cerși, fura sau împrumuta.
E umăr-surfing, unde un ticălos din mijlocul tău se uită peste umăr în timp ce îl tastezi; există presupuneri inspirate, unde ați folosit o expresie pe care un escroc o poate prezice pe baza intereselor dvs. personale; există Phishing, unde sunteți ademenit să predați parola unui impostor; și există keylogging, unde programele malware deja implantate pe computer ține evidența a ceea ce tastați și începe în secret să înregistreze ori de câte ori vizitați un site web care pare interesant.
Și pentru că parolele convenționale rămân, de obicei, aceleași de la conectare la conectare, escrocii care își dau seama astăzi o parolă o pot folosi de multe ori pur și simplu în timpul liber, adesea săptămâni, poate luni și uneori chiar ani.
Deci, aplicațiile 2FA, cu codurile lor de conectare unice, vă sporesc parola obișnuită cu un secret suplimentar, de obicei un număr din șase cifre, care se schimbă de fiecare dată.
Telefonul dvs. ca al doilea factor
Codurile din șase cifre generate în mod obișnuit de aplicațiile 2FA sunt calculate chiar pe telefon, nu pe laptop; se bazează pe o „seed” sau „cheie de pornire” care este stocată pe telefonul tău; și sunt protejați de codul de blocare de pe telefonul dvs., nu de orice parole pe care le introduceți în mod obișnuit pe laptop.
În acest fel, escrocii care cerșesc, împrumută sau fură parola dvs. obișnuită nu pot sări pur și simplu direct în contul dvs.
Acei atacatori au nevoie și de acces la telefonul dvs. și trebuie să vă poată debloca telefonul pentru a rula aplicația și a obține codul unic. (Codurile se bazează, de obicei, pe data și ora la cea mai apropiată jumătate de minut, deci se schimbă la fiecare 30 de secunde.)
Mai bine, telefoanele moderne includ cipuri de stocare securizate care nu sunt falsificate (Apple le numește pe ale lor Enclavă sigură; Google este cunoscut ca Titan) care își păstrează secretele chiar dacă reușiți să detașați cipul și să încercați să scoateți date din acesta offline prin sonde electrice miniaturale sau prin gravare chimică combinată cu microscopia electronică.
Bineînțeles, această „soluție” aduce cu ea o problemă proprie, și anume: cum faceți copii de rezervă ale acelor semințe 2FA extrem de importante în cazul în care vă pierdeți telefonul sau cumpărați unul nou și doriți să treceți la el?
Metoda periculoasă de a susține semințe
Majoritatea serviciilor online vă solicită să configurați o secvență de cod 2FA pentru un cont nou, introducând un șir de date aleatoare de 20 de octeți, ceea ce înseamnă să tastați laborios fie 40 de caractere hexazecimale (în bază de 16), câte unul pentru fiecare jumătate de octet, sau prin introducerea cu grijă a 32 de caractere în codificarea de bază 32, care utilizează caracterele A
la Z
și cele șase cifre 234567
(zero și unu sunt nefolosite pentru că arată ca O-pentru-Oscar și I-pentru-India).
Cu excepția faptului că, de obicei, aveți șansa de a evita necazul de a atinge manual secretul de pornire prin scanarea unui tip special de adresă URL printr-un cod QR.
Aceste adrese URL speciale 2FA au numele contului și semințele de început codificate în ele, astfel (am limitat aici sămânța la 10 octeți sau 16 caractere de bază 32, pentru a menține adresa URL scurtă):
Probabil poți ghici unde se duce asta.
Când porniți camera telefonului mobil pentru a scana coduri 2FA de acest fel, este tentant să faceți mai întâi o fotografie a codurilor, pentru a le folosi ca rezervă...
…dar vă îndemnăm să nu faceți asta, pentru că oricine va pune mâna pe acele imagini mai târziu (de exemplu din contul dvs. în cloud, sau pentru că le-ați transmis din greșeală) va cunoaște sămânța dvs. secretă și, în mod trivial, va putea genera dreptul succesiune de coduri din șase cifre.
Cum, prin urmare, să faceți backup pentru datele dvs. 2FA în mod fiabil fără a păstra copii în text simplu dintre acele secrete plictisitoare pe mai mulți octeți?
Google Authenticator pe carcasă
Ei bine, Google Authenticator a decis recent, chiar dacă cu întârziere, să înceapă să ofere un serviciu de „sincronizare a contului” 2FA, astfel încât să puteți face backup secvențelor de coduri 2FA în cloud și să le restaurați ulterior pe un dispozitiv nou, de exemplu dacă pierdeți sau înlocuiți telefonul tau.
Ca un singur mijloc de presă descris aceasta, „Google Authenticator adaugă o funcție critică mult așteptată după 13 ani.”
Dar cât de sigur are loc acest transfer de date pentru sincronizarea contului?
Datele dvs. secrete de semințe sunt criptate în tranzit către cloud-ul Google?
După cum vă puteți imagina, partea de încărcare în cloud a transferului secretelor dvs. 2FA este într-adevăr criptată, deoarece Google, ca orice companie conștientă de securitate, a folosit HTTPS și numai HTTPS pentru tot traficul său web de câțiva ani. .
Dar conturile tale 2FA pot fi criptate cu o expresie de acces care este exclusiv a ta chiar înainte de a părăsi dispozitivul dvs?
În acest fel, nu pot fi interceptați (fie în mod legal sau nu), citați, scurși de informații sau furați în timp ce sunt în stocarea în cloud.
La urma urmei, un alt mod de a spune „în cloud” este pur și simplu „salvat pe computerul altcuiva”.
Ghici ce?
Prietenii noștri indie-coder și cybersecurity-rangling la @mysk_co, despre care am mai scris de mai multe ori pe Naked Security, a decis să afle.
Ce au raportat ei nu sună teribil de încurajator.
Google tocmai și-a actualizat aplicația 2FA Authenticator și a adăugat o funcție atât de necesară: capacitatea de a sincroniza secretele pe dispozitive.
TL;DR: Nu-l porniți.
Noua actualizare permite utilizatorilor să se conecteze cu Contul Google și să sincronizeze secretele 2FA pe dispozitivele lor iOS și Android... pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) Aprilie 26, 2023
După cum puteți vedea mai sus, @mysk_co a susținut următoarele:
- Detaliile contului dvs. 2FA, inclusiv semințele, au fost necriptate în pachetele lor de rețea HTTPS. Cu alte cuvinte, odată ce criptarea la nivel de transport este eliminată după ce sosește încărcarea, semințele dvs. sunt disponibile pentru Google și, implicit, pentru oricine are un mandat de căutare pentru datele dvs.
- Nu există nicio opțiune de parolă pentru a cripta încărcarea înainte de a părăsi dispozitivul. După cum subliniază echipa @mysc_co, această caracteristică este disponibilă la sincronizarea informațiilor din Google Chrome, așa că pare ciudat că procesul de sincronizare 2FA nu oferă o experiență de utilizator similară.
Iată adresa URL creată de ei pentru a crea un nou cont 2FA în aplicația Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Și iată o captare a pachetului de trafic de rețea pe care Google Authenticator l-a sincronizat cu cloud, cu criptarea de securitate la nivel de transport (TLS) dezactivată:
Rețineți că caracterele hexazecimale evidențiate se potrivesc cu cei 10 octeți bruti de date care corespund „secretului” de bază 32 din adresa URL de mai sus:
$ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___(o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ S-au adăugat modulele preferate ale lui Duck în package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC
Ce să fac?
Suntem de acord cu sugestia lui @mysk_co, care este, „Recomandăm să utilizați aplicația fără noua funcție de sincronizare pentru moment.”
Suntem destul de siguri că Google va adăuga în curând o funcție de expresie de acces la funcția de sincronizare 2FA, având în vedere că această funcție deja exista în browserul Chrome, după cum se explică în paginile de ajutor proprii ale Chrome:
Păstrează-ți informațiile private
Cu o expresie de acces, puteți folosi cloud-ul Google pentru a stoca și sincroniza datele dvs. Chrome fără a lăsa Google să le citească. […] Frazele de acces sunt opționale. Datele dvs. sincronizate sunt întotdeauna protejate prin criptare atunci când sunt în tranzit.
Dacă ți-ai sincronizat deja semințele, nu intrați în panică (nu au fost partajate cu Google într-un mod care să le permită oricui altcuiva să le caute), dar va trebui să resetați secvențele 2FA pentru toate conturile pe care acum decideți că probabil ar fi trebuit să le păstrați pentru dvs. .
La urma urmei, este posibil să aveți configurat 2FA pentru servicii online, cum ar fi conturile bancare, în care termenii și condițiile vă cer să păstrați toate datele de conectare pentru dvs., inclusiv parolele și semințele, și să nu le partajați niciodată cu nimeni, nici măcar cu Google.
Dacă oricum ai obiceiul să faci fotografii cu codurile QR pentru semințele tale 2FA, fara sa te gandesti prea mult la asta, iti recomandam sa nu te gandesti.
După cum ne place să spunem despre Naked Security: Dacă aveți îndoieli / Nu-l dați.
Datele pe care le păstrați pentru dvs. nu pot fi scurse, sau furate, citate sau partajate mai departe cu terți de orice fel, fie în mod deliberat, fie din greșeală.
Actualizare. Google are a răspuns pe Twitter la raportul lui @mysk_co, admitând că a lansat în mod intenționat funcția de sincronizare a contului 2FA fără așa-numita criptare end-to-end (E2EE), dar a susținut că compania a „Planifică să ofere E2EE pentru Google Authenticator în continuare.” Compania a mai declarat că „opțiunea de a folosi aplicația offline va rămâne o alternativă pentru cei care preferă să-și gestioneze singuri strategia de backup”. [2023-04-26T18:37Z]
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- capacitate
- Capabil
- Despre Noi
- despre
- mai sus
- Absolut
- acces
- Cont
- Conturi
- peste
- adăuga
- adăugat
- adăugare
- Suplimentar
- Adaugă
- După
- împotriva
- TOATE
- permite
- deja
- de asemenea
- alternativă
- mereu
- an
- și
- Android
- O alta
- Orice
- oricine
- aplicaţia
- Apple
- Apps
- SUNT
- soseşte
- AS
- At
- autor
- Auto
- disponibil
- evita
- înapoi
- imagine de fundal
- Backup
- Bancă
- conturi bancare
- de bază
- bazat
- BE
- deoarece
- înainte
- frontieră
- împrumuta
- De jos
- Aduce
- browser-ul
- dar
- cumpăra
- by
- calculată
- apeluri
- aparat foto
- CAN
- cu grijă
- caz
- Centru
- șansă
- Schimbare
- Modificări
- caractere
- chimic
- cip
- Chips
- Chrome
- browserul Chrome
- revendicat
- Cloud
- Stocare in cloud
- cod
- culoare
- combinate
- în mod obișnuit
- companie
- calculator
- Condiții
- convențional
- drepturi de autor
- Curs
- acoperi
- scrisori de acreditare
- critic
- Securitate cibernetică
- Periculos
- de date
- Data
- decide
- hotărât
- detalii
- dispozitiv
- Dispozitive
- SĂPA
- cifre
- Afişa
- do
- face
- Nu
- don
- Dont
- jos
- uşor
- oricare
- Altele
- Fii încurajator.
- criptate
- criptare
- un capăt la altul
- intrarea
- Chiar
- Fiecare
- exemplu
- experienţă
- Explica
- a explicat
- Caracteristică
- Recomandate
- Figura
- Găsi
- Incendiu
- First
- următor
- Pentru
- Înainte
- Prietenii lui
- din
- genera
- generată
- obține
- Da
- dat
- merge
- Google Chrome
- apuca
- Avea
- înălțime
- ajutor
- aici
- Evidențiat
- deţine
- planare
- Cum
- HTTPS
- if
- imagina
- in
- În altele
- include
- Inclusiv
- info
- informații
- in schimb
- intentionat
- interesant
- interese
- în
- iOS
- IT
- ESTE
- a sari
- doar
- A pastra
- păstrare
- Cunoaște
- cunoscut
- laptop
- mai tarziu
- scăpa
- Părăsi
- lăsa
- închiriere
- Nivel
- ca
- Limitat
- Linie
- Logare
- mult-așteptata
- Uite
- arată ca
- Se pare
- pierde
- FACE
- malware
- administra
- manual
- Margine
- Meci
- max-width
- Mai..
- mijloace
- Mass-media
- Microscopie
- greşeală
- Mobil
- telefon mobil
- Modern
- Module
- luni
- mai mult
- mult
- mult nevoie
- Securitate goală
- nume
- și anume
- Nevoie
- reţea
- trafic de retea
- Nou
- ştiri
- Nu.
- normală.
- acum
- număr
- numeroși
- of
- de pe
- oferi
- oferind
- Offline
- de multe ori
- on
- dată
- ONE
- on-line
- Opțiune
- or
- Altele
- afară
- peste
- propriu
- pachet
- pachete
- Panică
- parte
- petreceri
- Parolă
- Parolele
- Paul
- peeks
- poate
- personal
- telefon
- Telefoane
- Fotografii
- poze
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- poziţie
- postări
- prezice
- a prefera
- destul de
- probabil
- Problemă
- proces
- Programe
- protejat
- Codul QR
- coduri qr
- aleator
- Crud
- Citeste
- recent
- recomanda
- înregistrare
- regulat
- eliberat
- rămâne
- înlocui
- raportează
- necesita
- cercetători
- restabili
- în mod obișnuit
- Alerga
- s
- în siguranță
- acelaşi
- spunând
- scanare
- scanare
- Caută
- Al doilea
- secunde
- Secret
- sigur
- securitate
- vedea
- sămânţă
- seminţe
- pare
- Secvenţă
- serviciu
- Servicii
- set
- câteva
- Distribuie
- comun
- Pantaloni scurți
- să
- semna
- asemănător
- pur şi simplu
- SIX
- Fixaţi
- Snoop
- So
- solid
- Cineva
- Suna
- special
- Începe
- începe să oferi
- Pornire
- începe
- stabilit
- şedere
- furate
- depozitare
- stoca
- stocate
- Istorii
- drept
- Strategie
- Şir
- tare
- astfel de
- SVG
- Intrerupator
- Tableta
- Lua
- rezistent la manipulare
- echipă
- termeni
- termenii si condițiile
- decât
- acea
- Linia
- lor
- Lor
- apoi
- Acolo.
- prin urmare
- ei
- Gândire
- Al treilea
- terțe părți
- acest
- aceste
- timp
- ori
- la
- astăzi
- de asemenea
- top
- urmări
- trafic
- transfer
- transferare
- tranzit
- tranziţie
- transparent
- de transport
- adevărat
- ÎNTORCĂ
- stare de nervozitate
- tip
- tipic
- unic
- deschide
- nefolosit
- Actualizează
- actualizat
- URL-ul
- utilizare
- utilizat
- Utilizator
- Experiența de utilizare
- utilizatorii
- folosind
- obișnuit
- de
- Vizita
- vrea
- Mandat
- Cale..
- modalități de
- we
- bazat pe web
- website
- săptămâni
- au fost
- Ce
- cand
- oricând
- dacă
- care
- în timp ce
- OMS
- lățime
- voi
- cu
- fără
- cuvinte
- scris
- ani
- încă
- Tu
- Ta
- te
- zephyrnet
- zero