The Google Şifrematik 2FA uygulaması son zamanlarda siber güvenlik haberlerinde güçlü bir şekilde yer aldı; Google, 2FA verilerinizi buluta yedeklemenizi ve ardından diğer cihazlara geri yüklemenizi sağlayan bir özellik ekledi.
Açıklamak gerekirse, bir 2FA (iki faktörlü kimlik doğrulama) uygulaması, çevrimiçi hesaplarınızı bir şifreden daha fazlasıyla güvence altına almanıza yardımcı olan tek seferlik giriş kodları oluşturmak için cep telefonunuzda veya tabletinizde çalıştırdığınız programlardan biridir.
Geleneksel şifrelerle ilgili sorun, dolandırıcıların şifreleri dilenmeleri, çalmaları veya ödünç almaları için çeşitli yolların bulunmasıdır.
Var omuz sörfü, siz yazarken aranızdaki bir haydutun omzunuzun üzerinden baktığı yer; var ilham verici tahmin, bir dolandırıcının kişisel ilgi alanlarınıza göre tahmin edebileceği bir ifade kullandığınızda; var Kimlik avı, şifrenizi bir sahtekâra teslim etmeniz için kandırıldığınız yer; ve orada keyloggingBilgisayarınıza zaten yerleştirilmiş olan kötü amaçlı yazılımların yazdıklarınızı takip ettiği ve ilginç görünen bir web sitesini her ziyaret ettiğinizde gizlice kaydetmeye başladığı yer.
Geleneksel şifreler genellikle girişten girişe kadar aynı kaldığından, bugün şifre bulan dolandırıcılar bunu genellikle haftalarca, belki aylarca, hatta bazen yıllarca, boş zamanlarında tekrar tekrar kullanabilirler.
Dolayısıyla 2FA uygulamaları, tek kullanımlık giriş kodlarıyla normal şifrenizi, her seferinde değişen, genellikle altı haneli bir sayı olan ek bir sırla güçlendirir.
İkinci faktör olarak telefonunuz
2FA uygulamaları tarafından yaygın olarak oluşturulan altı haneli kodlar, dizüstü bilgisayarınızda değil, doğrudan telefonunuzda hesaplanır; telefonunuzda kayıtlı bir “çekirdek” veya “başlangıç anahtarına” dayalıdırlar; ve dizüstü bilgisayarınıza rutin olarak yazdığınız şifrelerle değil, telefonunuzdaki kilit koduyla korunurlar.
Bu şekilde, normal şifrenizi isteyen, ödünç alan veya çalan dolandırıcılar doğrudan hesabınıza giremez.
Bu saldırganların aynı zamanda telefonunuza erişmeleri ve uygulamayı çalıştırıp tek kullanımlık kodu alabilmeleri için telefonunuzun kilidini açabilmeleri gerekiyor. (Kodlar genellikle tarih ve saate en yakın yarım dakikaya dayalıdır, dolayısıyla her 30 saniyede bir değişirler.)
Daha da iyisi, modern telefonlar kurcalamaya dayanıklı güvenli depolama yongaları içerir (Apple onlarınkini çağırır) Güvenli Enklav; Google'ınki şu şekilde bilinir: titanÇipi çıkarmayı başarsanız ve minyatür elektrik sondaları aracılığıyla veya elektron mikroskobuyla birlikte kimyasal aşındırma yoluyla çevrimdışı olarak veri kazmaya çalışsanız bile sırlarını saklayanlar.
Elbette bu “çözüm” kendi başına bir sorunu da beraberinde getiriyor: Telefonunuzu kaybetmeniz veya yeni bir tane alıp ona geçmek istemeniz durumunda bu çok önemli 2FA tohumlarını nasıl yedekleyeceksiniz?
Tohumları yedeklemenin tehlikeli yolu
Çoğu çevrimiçi hizmet, 2 baytlık rastgele veri dizisi girerek yeni bir hesap için bir 20FA kod dizisi ayarlamanızı gerektirir; bu, her yarım bayt için bir tane olmak üzere 40 onaltılık (taban-16) karakteri zahmetli bir şekilde yazmak anlamına gelir veya karakterleri kullanan base-32 kodlamada 32 karakteri dikkatlice girerek A
için Z
ve altı rakam 234567
(Sıfır ve bir kullanılmaz çünkü Oscar için O ve Hindistan için I gibi görünürler).
Bunun dışında genellikle, bunun yerine QR kodu aracılığıyla özel bir URL türünü tarayarak başlangıç sırrınıza manuel olarak dokunma zahmetinden kaçınma şansına sahip olursunuz.
Bu özel 2FA URL'lerinde hesap adı ve başlangıç tohumu şu şekilde kodlanmıştır (URL'yi kısa tutmak için buradaki tohumu 10 bayt veya 16 temel-32 karakterle sınırladık):
Muhtemelen bunun nereye gittiğini tahmin edebilirsiniz.
Bu tür 2FA kodlarını taramak için cep telefonunuzun kamerasını çalıştırdığınızda, yedek olarak kullanmak için önce kodların bir fotoğrafını çekmek cazip gelebilir…
…ama bunu yapmamanızı tavsiye ediyoruz, çünkü bu resimleri daha sonra ele geçiren herhangi biri (örneğin, bulut hesabınızdan veya yanlışlıkla ilettiğiniz için) gizli tohumunuzu bilecek ve önemsiz bir şekilde doğru dosyayı oluşturabilecektir. altı haneli kod dizisi.
Bu nedenle 2FA verilerinizi güvenilir bir şekilde nasıl yedekleyebilirsiniz? düz metin kopyalarını saklamadan şu sinir bozucu çok baytlı sırlardan mı?
Bu durumda Google Authenticator
Google Authenticator kısa bir süre önce, gecikmiş de olsa, 2FA kod dizilerinizi buluta yedekleyebilmeniz ve daha sonra örneğin kaybederseniz veya değiştirebilirseniz bunları yeni bir cihaza geri yükleyebilmeniz için bir 2FA "hesap senkronizasyonu" hizmeti sunmaya karar verdi. Telefonunuz.
Tek bir medya kuruluşu olarak tarif edilen o, "Google Authenticator, uzun zamandır beklenen kritik bir özelliği 13 yıl sonra ekliyor."
Ancak bu hesap senkronizasyonu veri aktarımı ne kadar güvenli bir şekilde gerçekleşiyor?
Gizli tohum verileriniz Google bulutuna aktarılırken şifreleniyor mu?
Tahmin edebileceğiniz gibi, 2FA sırlarınızı aktarmanın bulut yükleme kısmı gerçekten şifrelenmiştir, çünkü Google, güvenlik bilincine sahip her şirket gibi, birkaç yıldır tüm web tabanlı trafiği için HTTPS ve yalnızca HTTPS'yi kullanmaktadır. .
Ancak 2FA hesaplarınız size özel bir parola ile şifrelenebilir mi? onlar cihazınızı terk etmeden önce?
Bu şekilde, bulut depolamadayken ele geçirilemez (yasal olsun veya olmasın), mahkemeye çağrılamaz, sızdırılamaz veya çalınamaz.
Sonuçta, "bulutta" demenin başka bir yolu da basitçe "başka birinin bilgisayarına kaydedilmiş" demektir.
Tahmin et ne oldu?
Bağımsız kodlayıcı ve siber güvenlikle uğraşan arkadaşlarımız @mysk_coDaha önce Naked Security'de hakkında birkaç kez yazdığımız kişi bunu öğrenmeye karar verdi.
Ne rapor ettiler kulağa pek cesaret verici gelmiyor.
Google, 2FA Authenticator uygulamasını yakın zamanda güncelledi ve çok ihtiyaç duyulan bir özelliği ekledi: sırları cihazlar arasında senkronize etme yeteneği.
TL;DR: Açmayın.
Yeni güncelleme, kullanıcıların Google Hesaplarıyla oturum açmasına ve 2FA sırlarını iOS ve Android cihazları arasında senkronize etmesine olanak tanıyor. pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 26 Nisan 2023
Yukarıda görebileceğiniz gibi @mysk_co şunları iddia etti:
- Tohumlar da dahil olmak üzere 2FA hesap ayrıntılarınız, HTTPS ağ paketlerinde şifrelenmemişti. Başka bir deyişle, yükleme geldikten sonra aktarım düzeyindeki şifreleme kaldırıldığında, tohumlarınız Google'ın ve dolayısıyla dolaylı olarak verileriniz için arama emri olan herkesin kullanımına açık olur.
- Yüklemenizi cihazınızdan çıkmadan önce şifrelemenizi sağlayacak bir parola seçeneği yoktur. @mysc_co ekibinin de belirttiği gibi, bu özellik Google Chrome'daki bilgileri senkronize ederken kullanılabilir, bu nedenle 2FA senkronizasyon işleminin benzer bir kullanıcı deneyimi sunmaması garip görünüyor.
Google Authenticator uygulamasında yeni bir 2FA hesabı oluşturmak için oluşturdukları uydurma URL'yi burada bulabilirsiniz:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Ve burada, Google Authenticator'ın aktarım düzeyi güvenlik (TLS) şifrelemesi kaldırılarak bulutla senkronize ettiği ağ trafiğinin bir paket yakalaması var:
Vurgulanan onaltılık karakterlerin, yukarıdaki URL'deki 10 tabanına karşılık gelen ham 32 baytlık veriyle eşleştiğini unutmayın:
$ luax Lua 5.4.5 Telif Hakkı (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Duck'ın favori modülleri package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC içine eklendi
Ne yapalım?
@mysk_co'nun önerisine katılıyoruz: "Uygulamayı şimdilik yeni senkronizasyon özelliği olmadan kullanmanızı öneririz."
Bu özelliğin mevcut olduğu göz önüne alındığında, Google'ın 2FA senkronizasyon özelliğine yakın zamanda bir parola özelliği ekleyeceğinden oldukça eminiz. zaten var Chrome'un kendi yardım sayfalarında açıklandığı gibi Chrome tarayıcısında:
Bilgilerinizi gizli tutun
Bir parolayla, Chrome verilerinizi Google'ın okumasına izin vermeden depolamak ve senkronize etmek için Google'ın bulutunu kullanabilirsiniz. […] Parolalar isteğe bağlıdır. Senkronize edilen verileriniz aktarım sırasında daima şifrelemeyle korunur.
Tohumlarınızı zaten senkronize ettiyseniz, paniğe kapılmayın (başkalarının gizlice gözetlemesini kolaylaştıracak şekilde Google ile paylaşılmadılar), ancak muhtemelen kendinize saklamanız gerektiğine karar verdiğiniz tüm hesaplar için 2FA dizilerini sıfırlamanız gerekecektir. .
Sonuçta, banka hesapları gibi çevrimiçi hizmetler için 2FA kurmuş olabilirsiniz; burada şartlar ve koşullar, şifreler ve tohumlar da dahil olmak üzere tüm giriş bilgilerinizi kendinize saklamanızı ve bunları asla Google dahil hiç kimseyle paylaşmamanızı gerektirir.
Zaten 2FA tohumlarınız için QR kodlarının fotoğraflarını çekme alışkanlığınız varsa, Fazla düşünmeden, düşünmemenizi öneririz.
Çıplak Güvenlik konusunda söylemek istediğimiz gibi: Şüpheniz varsa / Vermeyin.
Kendinize sakladığınız veriler, kasıtlı veya yanlışlıkla sızdırılamaz, çalınamaz, mahkemeye çağrılamaz veya herhangi bir üçüncü tarafla paylaşılamaz.
Güncelleştirme. Google var Twitter'da cevap verdi @mysk_co'nun raporuna, uçtan uca şifreleme (E2EE) adı verilen 2FA hesap senkronizasyon özelliğini kasıtlı olarak yayınladığını kabul ederek, ancak şirketin "ileride Google Authenticator için E2EE sunmayı planlıyor." Şirket ayrıca şunları ifade etti: “Uygulamayı çevrimdışı kullanma seçeneği, yedekleme stratejilerini kendileri yönetmeyi tercih edenler için bir alternatif olmaya devam edecek”. [2023-04-26T18:37Z]
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- kabiliyet
- Yapabilmek
- Hakkımızda
- hakkında
- yukarıdaki
- kesin
- erişim
- Hesap
- Hesaplar
- karşısında
- eklemek
- katma
- ekleme
- Ek
- Ekler
- Sonra
- karşı
- Türkiye
- veriyor
- zaten
- Ayrıca
- alternatif
- her zaman
- an
- ve
- android
- Başka
- herhangi
- kimse
- uygulamayı yükleyeceğiz
- Apple
- uygulamalar
- ARE
- Geldiğinde
- AS
- At
- yazar
- Oto
- mevcut
- önlemek
- Arka
- background-image
- yedek
- Banka
- banka hesabı
- baz
- merkezli
- BE
- Çünkü
- önce
- sınır
- ödünç almak
- Alt
- Getiriyor
- tarayıcı
- fakat
- satın almak
- by
- hesaplanmış
- aramalar
- kamera
- CAN
- dikkatlice
- dava
- Merkez
- şans
- değişiklik
- değişiklikler
- karakterler
- kimyasal
- yonga
- cips
- krom
- krom tarayıcı
- iddia
- bulut
- bulut depolama
- kod
- renk
- kombine
- çoğunlukla
- şirket
- bilgisayar
- koşullar
- geleneksel
- telif hakkı
- Kurs
- kapak
- Tanıtım
- kritik
- Siber güvenlik
- Tehlikeli
- veri
- Tarih
- karar vermek
- karar
- ayrıntılar
- cihaz
- Cihaz
- KAZ
- basamak
- ekran
- do
- yok
- Değil
- don
- Dont
- aşağı
- kolay
- ya
- başkasının
- teşvik edici
- şifreli
- şifreleme
- son uca
- girme
- Hatta
- Her
- örnek
- deneyim
- Açıklamak
- açıkladı
- Özellikler(Hazırlık aşamasında)
- özellikli
- şekil
- bulmak
- Ateş
- Ad
- takip etme
- İçin
- ileri
- arkadaşlar
- itibaren
- oluşturmak
- oluşturulan
- almak
- Vermek
- verilmiş
- gidiş
- Google Chrome
- Google'ın
- kapmak
- Var
- yükseklik
- yardım et
- okuyun
- Vurgulanan
- ambar
- duraksamak
- Ne kadar
- HTTPS
- if
- resim
- in
- Diğer
- dahil
- Dahil olmak üzere
- bilgi
- bilgi
- yerine
- kasten
- ilginç
- ilgi alanları
- içine
- iOS
- IT
- ONUN
- atlama
- sadece
- tutmak
- koruma
- Bilmek
- bilinen
- dizüstü bilgisayar
- sonra
- sızıntı
- Ayrılmak
- izin
- icar
- seviye
- sevmek
- Sınırlı
- çizgi
- giriş
- uzun zamandır beklenen
- Bakın
- gibi görünmek
- GÖRÜNÜYOR
- kaybetmek
- YAPAR
- kötü amaçlı yazılım
- yönetmek
- el ile
- Kenar
- Maç
- maksimum genişlik
- Mayıs..
- anlamına geliyor
- medya
- mikroskopla inceleme
- hata
- Telefon
- cep telefonu kullanıyor.
- Modern
- Modüller
- ay
- Daha
- çok
- çok ihtiyaç duyulan
- Çıplak Güvenlik
- isim
- yani
- gerek
- ağ
- ağ trafiği
- yeni
- haber
- yok hayır
- normal
- şimdi
- numara
- sayısız
- of
- kapalı
- teklif
- teklif
- çevrimdışı
- sık sık
- on
- bir Zamanlar
- ONE
- Online
- seçenek
- or
- Diğer
- dışarı
- tekrar
- kendi
- paket
- paketler
- Panik
- Bölüm
- partiler
- Şifre
- şifreleri
- Paul
- dikizler
- belki
- kişisel
- telefon
- telefonlar
- Fotoğraflar
- Fotoğraf Galerisi
- yer
- Platon
- Plato Veri Zekası
- PlatoVeri
- Nokta
- pozisyon
- Mesajlar
- tahmin
- tercih
- güzel
- muhtemelen
- Sorun
- süreç
- Programlar
- korumalı
- QR code
- qr kodları
- rasgele
- Çiğ
- Okumak
- geçenlerde
- tavsiye etmek
- kayıt
- düzenli
- serbest
- kalmak
- değiştirmek
- rapor
- gerektirir
- Araştırmacılar
- geri
- rutin
- koşmak
- s
- güvenli bir şekilde
- aynı
- söz
- taramak
- tarama
- Ara
- İkinci
- saniye
- Gizli
- güvenli
- güvenlik
- görmek
- tohum
- tohumları
- görünüyor
- Dizi
- hizmet
- Hizmetler
- set
- birkaç
- paylaş
- Paylaşılan
- kısa
- meli
- işaret
- benzer
- sadece
- ALTINCI
- çıtçıt
- Hafiye
- So
- katı
- Birisi
- Ses
- özel
- başlama
- teklif etmeye başla
- XNUMX dakika içinde!
- başlar
- belirtilen
- kalmak
- çalıntı
- hafızası
- mağaza
- saklı
- hikayeler
- düz
- Stratejileri
- dizi
- şiddetle
- böyle
- SVG
- anahtar
- Tablet
- Bizi daha iyi tanımak için
- kurcalamaya dayanıklı
- takım
- şartlar
- şartlar ve koşullar'ı kabul ediyorum
- göre
- o
- The
- Çizgi
- ve bazı Asya
- Onları
- sonra
- Orada.
- bu nedenle
- onlar
- Düşünme
- Üçüncü
- üçüncü şahıslar
- Re-Tweet
- Bu
- zaman
- zamanlar
- için
- bugün
- çok
- üst
- iz
- trafik
- transfer
- aktarma
- transit
- geçiş
- şeffaf
- taşıma
- gerçek
- DÖNÜŞ
- tip
- tipik
- benzersiz
- kilidini açmak
- kullanılmayan
- Güncelleme
- güncellenmiş
- URL
- kullanım
- Kullanılmış
- kullanıcı
- Kullanıcı Deneyimi
- kullanıcılar
- kullanma
- genellikle
- üzerinden
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- istemek
- Varant
- Yol..
- yolları
- we
- Web tabanlı
- Web sitesi
- Haftalar
- vardı
- Ne
- ne zaman
- her ne zaman
- olup olmadığını
- hangi
- süre
- DSÖ
- genişlik
- irade
- ile
- olmadan
- sözler
- yazılı
- yıl
- henüz
- Sen
- kendiniz
- zefirnet
- sıfır