O Google Authenticator Aplikacija 2FA se je v zadnjem času močno pojavila v novicah o kibernetski varnosti, pri čemer je Google dodal funkcijo, ki vam omogoča varnostno kopiranje podatkov 2FA v oblak in njihovo nato obnovitev v drugih napravah.
Za razlago, 2FA (dvokomponentna overitev) je eden tistih programov, ki jih zaženete na svojem mobilnem telefonu ali tabličnem računalniku za ustvarjanje kod za enkratno prijavo, ki pomagajo zaščititi vaše spletne račune z več kot le geslom.
Težava z običajnimi gesli je, da jih lahko prevaranti prosijo, ukradejo ali izposodijo na številne načine.
Tukaj deskanje na ramenih, kjer vam lopov med vnašanjem kuka čez ramo; tam je navdahnjeno ugibanje, kjer ste uporabili frazo, ki jo lahko prevarant predvidi na podlagi vaših osebnih interesov; tam je Ribarjenje, kjer vas zvabijo, da svoje geslo predate prevarantu; in tam je zapisovanje tipk, kjer zlonamerna programska oprema, ki je že vstavljena v vaš računalnik, spremlja, kaj tipkate, in na skrivaj začne snemati vsakič, ko obiščete spletno mesto, ki je videti zanimivo.
In ker običajna gesla običajno ostanejo enaka od prijave do prijave, ga lahko prevaranti, ki danes ugotovijo geslo, pogosto preprosto uporabljajo znova in znova v prostem času, pogosto tedne, morda mesece in včasih celo leta.
Tako aplikacije 2FA s svojimi kodami za enkratno prijavo povečajo vaše običajno geslo z dodatno skrivnostjo, običajno šestmestno številko, ki se vsakič spremeni.
Vaš telefon kot drugi dejavnik
Šestmestne kode, ki jih običajno ustvarijo aplikacije 2FA, se izračunajo kar v vašem telefonu, ne v prenosnem računalniku; temeljijo na "semenu" ali "zagonskem ključu", ki je shranjen v vašem telefonu; in so zaščiteni s kodo za zaklepanje v vašem telefonu, ne z gesli, ki jih redno vnašate v prenosni računalnik.
Tako prevaranti, ki prosjačijo, si izposodijo ali ukradejo vaše običajno geslo, ne morejo preprosto skočiti naravnost v vaš račun.
Ti napadalci potrebujejo tudi dostop do vašega telefona in morajo imeti možnost odkleniti vaš telefon, da zaženejo aplikacijo in pridobijo enkratno kodo. (Kode običajno temeljijo na datumu in času na najbližjo pol minute, zato se spremenijo vsakih 30 sekund.)
Še bolje, sodobni telefoni vključujejo čipe za varno shranjevanje, zaščitene pred posegi (Apple jih imenuje njihov Varen enklav; Google je znan kot Titan), ki hranijo svoje skrivnosti, tudi če vam uspe odklopiti čip in poskušate iz njega izkopati podatke brez povezave prek miniaturnih električnih sond ali s kemičnim jedkanjem v kombinaciji z elektronsko mikroskopijo.
Seveda ta "rešitev" s seboj prinaša lastno težavo, in sicer: kako varnostno kopirate ta nadvse pomembna semena 2FA, če izgubite telefon ali kupite novega in želite preklopiti nanj?
Nevaren način varnostnega kopiranja semen
Večina spletnih storitev zahteva, da nastavite kodno zaporedje 2FA za nov račun z vnosom 20-bajtnega niza naključnih podatkov, kar pomeni mukotrpno vnašanje bodisi 40 šestnajstiških (osnova-16) znakov, enega za vsak polbajt ali s pazljivim vnosom 32 znakov v kodiranje base-32, ki uporablja znake A
do Z
in šest števk 234567
(nič in ena nista uporabljeni, ker izgledata kot O-za-Oscarja in I-za-Indijo).
Le da se običajno lahko izognete težavam z ročnim dotikom začetne skrivnosti tako, da namesto tega skenirate posebno vrsto URL-ja prek kode QR.
Ti posebni URL-ji 2FA imajo ime računa in začetno seme kodirano vanje, kot je ta (seme smo omejili na 10 bajtov ali 16 znakov base-32, da ostane URL kratek):
Verjetno lahko ugibate, kam to pelje.
Ko prižgete kamero svojega mobilnega telefona za skeniranje tovrstnih kod 2FA, je skušnjava, da bi najprej posneli fotografijo kod, ki bi jo uporabili kot varnostno kopijo ...
…vendar vas pozivamo, da tega ne storite, ker bo vsakdo, ki bo pozneje dobil te slike (na primer iz vašega računa v oblaku ali ker ste jo pomotoma posredovali), poznal vaše skrivno seme in bo trivialno lahko ustvaril pravo zaporedje šestmestnih kod.
Kako torej zanesljivo varnostno kopirati svoje podatke 2FA brez hranjenja kopij navadnega besedila teh nadležnih večbajtnih skrivnosti?
Google Authenticator na ohišju
No, Google Authenticator se je pred kratkim, čeprav z zamudo, odločil, da bo začel ponujati storitev 2FA »account sync«, tako da lahko svoje zaporedje kod 2FA varnostno kopirate v oblak in jih pozneje obnovite v novo napravo, na primer, če izgubite ali zamenjate tvoj telefon.
Kot en medij opisano je, "Google Authenticator po 13 letih doda kritično dolgo pričakovano funkcijo."
Kako varen pa je prenos podatkov o sinhronizaciji računa?
Ali so vaši skrivni začetni podatki med prenosom v Googlov oblak šifrirani?
Kot si lahko predstavljate, je del nalaganja v oblak pri prenosu vaših skrivnosti 2FA dejansko šifriran, saj Google, tako kot vsako podjetje, ki se zaveda varnosti, že nekaj let uporablja HTTPS in samo HTTPS za ves svoj spletni promet. .
Toda ali je mogoče vaše račune 2FA šifrirati z geslom, ki je edinstveno vaše še preden zapustijo vašo napravo?
Na ta način jih ni mogoče prestreči (ne glede na to, ali je zakonito ali ne), sodno pozvati, razkriti ali ukrasti, medtem ko so v shrambi v oblaku.
Konec koncev je drug način reči "v oblaku" preprosto "shranjen v računalnik nekoga drugega".
Ugani kaj?
Naši neodvisni koderji in prijatelji, ki se ukvarjajo s kibernetsko varnostjo na @mysk_co, o katerem smo na Goli varnosti že večkrat pisali, se je odločil izvedeti.
Kaj so poročali ne zveni prav spodbudno.
Google je pravkar posodobil svojo aplikacijo 2FA Authenticator in dodal prepotrebno funkcijo: možnost sinhronizacije skrivnosti med napravami.
TL;DR: Ne vklopi ga.
Nova posodobitev omogoča uporabnikom, da se prijavijo s svojim Google Računom in sinhronizirajo skrivnosti 2FA v svojih napravah iOS in Android.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Kot lahko vidite zgoraj, je @mysk_co trdil naslednje:
- Podrobnosti o vašem računu 2FA, vključno s semeni, niso bile šifrirane znotraj njihovih omrežnih paketov HTTPS. Z drugimi besedami, ko je šifriranje na ravni transporta odstranjeno po prejemu nalaganja, so vaša semena na voljo Googlu in s tem implicitno vsem, ki imajo nalog za preiskavo vaših podatkov.
- Ni možnosti gesla za šifriranje nalaganja, preden zapusti vašo napravo. Kot poudarja ekipa @mysc_co, je ta funkcija na voljo pri sinhronizaciji informacij iz Google Chroma, zato se zdi čudno, da postopek sinhronizacije 2FA ne ponuja podobne uporabniške izkušnje.
Tukaj je izmišljen URL, ki so ga ustvarili za nastavitev novega računa 2FA v aplikaciji Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
In tukaj je paketni zajem omrežnega prometa, ki ga je Google Authenticator sinhroniziral z oblakom, pri čemer je bilo odvzeto šifriranje varnosti na ravni transporta (TLS):
Upoštevajte, da se označeni šestnajstiški znaki ujemajo z neobdelanimi 10 bajti podatkov, ki ustrezajo »skrivnosti« osnove 32 v zgornjem URL-ju:
$ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Dodani Duckovi najljubši moduli v package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC
Kaj storiti?
Strinjamo se s predlogom @mysk_co, ki je, "Priporočamo, da za zdaj uporabljate aplikacijo brez nove funkcije sinhronizacije."
Skoraj prepričani smo, da bo Google funkciji sinhronizacije 2FA kmalu dodal funkcijo gesla, glede na to, da ta funkcija že obstaja v brskalniku Chrome, kot je razloženo na Chromovih lastnih straneh s pomočjo:
Naj bodo vaši podatki zasebni
Z geslom lahko uporabite Googlov oblak za shranjevanje in sinhronizacijo podatkov Chroma, ne da bi jih Google prebral. […] Gesla niso obvezna. Vaši sinhronizirani podatki so vedno zaščiteni s šifriranjem, ko so na poti.
Če ste že sinhronizirali svoja semena, brez panike (niso bili deljeni z Googlom na način, ki bi komu drugemu olajšal, da bi jih izvohljal), vendar boste morali ponastaviti zaporedja 2FA za vse račune, za katere se zdaj odločite, da bi jih verjetno morali obdržati zase .
Navsezadnje imate morda nastavljeno 2FA za spletne storitve, kot so bančni računi, kjer določila in pogoji zahtevajo, da vse poverilnice za prijavo obdržite zase, vključno z gesli in semeni, in jih nikoli ne delite z nikomer, niti z Googlom.
Če imate navado fotografirati kode QR za svoja semena 2FA, ne da bi o tem preveč razmišljali, priporočamo, da tega ne storite.
Kot radi rečemo o goli varnosti: Če ste v dvomih / ne izdajte.
Podatki, ki jih hranite zase, ne morejo uhajati, biti ukradeni, sodno pozvani ali posredovani tretjim osebam katere koli vrste, namerno ali po pomoti.
Update. Google ima odgovoril na Twitterju na poročilo @mysk_co s priznanjem, da je namenoma izdal funkcijo sinhronizacije računa 2FA brez tako imenovanega šifriranja od konca do konca (E2EE), vendar je trdil, da ima podjetje "načrtuje ponuditi E2EE za Google Authenticator." Družba je tudi izjavila, da "možnost uporabe aplikacije brez povezave bo ostala alternativa za tiste, ki raje sami upravljajo svojo strategijo varnostnega kopiranja.« [2023-04-26T18:37Z]
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- sposobnost
- Sposobna
- O meni
- o IT
- nad
- absolutna
- dostop
- Račun
- računi
- čez
- dodajte
- dodano
- dodajanje
- Dodatne
- Dodaja
- po
- proti
- vsi
- omogoča
- že
- Prav tako
- alternativa
- vedno
- an
- in
- Android
- Še ena
- kaj
- kdo
- aplikacija
- Apple
- aplikacije
- SE
- Prihaja
- AS
- At
- Avtor
- avto
- Na voljo
- izogniti
- nazaj
- ozadja, slike
- backup
- Banka
- bančni računi
- baza
- temeljijo
- BE
- ker
- pred
- meja
- sposodim
- Bottom
- Prinaša
- brskalnik
- vendar
- nakup
- by
- izračuna
- poziva
- kamera
- CAN
- previdno
- primeru
- center
- priložnost
- spremenite
- Spremembe
- znaki
- kemijske
- čip
- čipi
- Krom
- krom brskalnik
- trdil,
- Cloud
- Cloud Storage
- Koda
- barva
- kombinirani
- pogosto
- podjetje
- računalnik
- Pogoji
- konvencionalne
- avtorske pravice
- Tečaj
- pokrov
- Mandatno
- kritično
- Cybersecurity
- Nevarno
- datum
- Datum
- odloča
- odločil
- Podrobnosti
- naprava
- naprave
- DIG
- števk
- zaslon
- do
- ne
- Ne
- don
- dont
- navzdol
- lahka
- bodisi
- Drugače
- spodbujanje
- šifriran
- šifriranje
- konec koncev
- V
- Tudi
- Tudi vsak
- Primer
- izkušnje
- Pojasnite
- razložiti
- Feature
- izrazit
- Slika
- Najdi
- narava
- prva
- po
- za
- Naprej
- prijatelji
- iz
- ustvarjajo
- ustvarila
- dobili
- Daj
- dana
- dogaja
- Google Chrome
- Googlova
- zgrabi
- Imajo
- višina
- pomoč
- tukaj
- Poudarjeno
- držite
- hover
- Kako
- HTTPS
- if
- slika
- in
- V drugi
- vključujejo
- Vključno
- info
- Podatki
- Namesto
- namerno
- Zanimivo
- interesi
- v
- iOS
- IT
- ITS
- skoči
- samo
- Imejte
- vzdrževanje
- Vedite
- znano
- laptop
- pozneje
- uhajanje
- pustite
- Naj
- najem
- Stopnja
- kot
- Limited
- vrstica
- prijava
- dolgo pričakovano
- Poglej
- izgleda kot
- POGLEDI
- izgubiti
- IZDELA
- zlonamerna programska oprema
- upravljanje
- ročno
- Marža
- Stave
- max širine
- Maj ..
- pomeni
- mediji
- Mikroskopija
- napaka
- Mobilni
- mobilni telefon
- sodobna
- Moduli
- mesecev
- več
- veliko
- prepotrebno
- Gola varnost
- Ime
- in sicer
- Nimate
- mreža
- omrežni promet
- Novo
- novice
- št
- normalno
- zdaj
- Številka
- številne
- of
- off
- ponudba
- ponujanje
- offline
- pogosto
- on
- enkrat
- ONE
- na spletu
- Možnost
- or
- Ostalo
- ven
- več
- lastne
- paket
- paketi
- Panic
- del
- Stranke
- Geslo
- gesla
- paul
- pokuka
- mogoče
- Osebni
- telefon
- telefoni
- slike
- slike
- Kraj
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- Stališče
- Prispevkov
- napovedati
- raje
- precej
- verjetno
- problem
- Postopek
- programi
- zaščiteni
- QR koda
- qr-kode
- naključno
- Surovi
- Preberi
- Pred kratkim
- Priporočamo
- Snemanje
- redni
- sprosti
- ostajajo
- zamenjajte
- poročilo
- zahteva
- raziskovalci
- obnovitev
- rutinsko
- Run
- s
- varno
- Enako
- rek
- skeniranje
- skeniranje
- Iskalnik
- drugi
- sekund
- skrivnost
- zavarovanje
- varnost
- glej
- seme
- Semena
- Zdi se,
- Zaporedje
- Storitev
- Storitve
- nastavite
- več
- Delite s prijatelji, znanci, družino in partnerji :-)
- deli
- Kratke Hlače
- shouldnt
- podpisati
- Podoben
- preprosto
- SIX
- Snap
- Snoop
- So
- trdna
- nekdo
- zvok
- posebna
- Začetek
- začnite ponujati
- Začetek
- začne
- navedla
- bivanje
- ukradeno
- shranjevanje
- trgovina
- shranjeni
- zgodbe
- naravnost
- Strategija
- String
- Močno
- taka
- SVG
- Preklop
- Tablet
- Bodite
- zaščiten pred posegi
- skupina
- Pogoji
- Splošni pogoji poslovanja
- kot
- da
- O
- Linija
- njihove
- Njih
- POTEM
- Tukaj.
- zato
- jih
- Razmišljanje
- tretja
- tretje osebe
- ta
- tisti,
- čas
- krat
- do
- danes
- tudi
- vrh
- sledenje
- Prometa
- prenos
- Prenos
- tranzit
- Prehod
- pregleden
- prevoz
- Res
- OBRAT
- tip
- tipično
- edinstveno
- odklepanje
- neuporabljeno
- Nadgradnja
- posodobljeno
- URL
- uporaba
- Rabljeni
- uporabnik
- Uporabniška izkušnja
- Uporabniki
- uporabo
- navadno
- preko
- obisk
- želeli
- Nalog
- način..
- načini
- we
- Web-Based
- Spletna stran
- Weeks
- so bili
- Kaj
- kdaj
- kadar koli
- ali
- ki
- medtem
- WHO
- širina
- bo
- z
- brez
- besede
- pisni
- let
- še
- Vi
- Vaša rutina za
- sami
- zefirnet
- nič