Sản phẩm Google Authenticator Gần đây, ứng dụng 2FA nổi bật trong các câu chuyện tin tức về an ninh mạng, với việc Google bổ sung một tính năng cho phép bạn sao lưu dữ liệu 2FA của mình vào đám mây rồi khôi phục dữ liệu đó trên các thiết bị khác.
Để giải thích, 2FA (xác thực hai yếu tố) là một trong những chương trình mà bạn chạy trên điện thoại di động hoặc máy tính bảng của mình để tạo mã đăng nhập một lần giúp bảo mật tài khoản trực tuyến của bạn không chỉ bằng mật khẩu.
Vấn đề với mật khẩu thông thường là có nhiều cách mà kẻ gian có thể xin, đánh cắp hoặc mượn chúng.
có lướt vai, nơi một kẻ lừa đảo ở giữa bạn liếc qua vai bạn khi bạn đang nhập nó; có cảm hứng phỏng đoán, khi bạn đã sử dụng một cụm từ mà kẻ lừa đảo có thể dự đoán dựa trên sở thích cá nhân của bạn; có Lừa đảo, khi bạn bị dụ giao mật khẩu của mình cho kẻ mạo danh; và đây là keylogging, trong đó phần mềm độc hại đã được cấy vào máy tính của bạn sẽ theo dõi nội dung bạn nhập và bí mật bắt đầu ghi lại bất cứ khi nào bạn truy cập một trang web có vẻ thú vị.
Và bởi vì các mật khẩu thông thường thường giữ nguyên từ lần đăng nhập này đến lần đăng nhập khác, nên những kẻ lừa đảo tìm ra mật khẩu ngày nay thường có thể chỉ cần sử dụng đi sử dụng lại mật khẩu đó một cách thoải mái, thường là trong nhiều tuần, có thể là hàng tháng và đôi khi thậm chí là hàng năm.
Vì vậy, các ứng dụng 2FA, với mã đăng nhập một lần, tăng mật khẩu thông thường của bạn bằng một bí mật bổ sung, thường là một số có sáu chữ số, thay đổi mỗi lần.
Điện thoại của bạn là yếu tố thứ hai
Các mã gồm sáu chữ số thường được tạo bởi các ứng dụng 2FA được tính toán ngay trên điện thoại của bạn chứ không phải trên máy tính xách tay của bạn; chúng dựa trên “mục gốc” hoặc “khóa bắt đầu” được lưu trữ trên điện thoại của bạn; và chúng được bảo vệ bằng mã khóa trên điện thoại của bạn chứ không phải bằng bất kỳ mật khẩu nào bạn thường nhập trên máy tính xách tay của mình.
Bằng cách đó, những kẻ gian xin, mượn hoặc đánh cắp mật khẩu thông thường của bạn không thể xâm nhập thẳng vào tài khoản của bạn.
Những kẻ tấn công đó cũng cần quyền truy cập vào điện thoại của bạn và chúng cần có khả năng mở khóa điện thoại của bạn để chạy ứng dụng và lấy mã một lần. (Các mã này thường dựa trên ngày và giờ chính xác đến nửa phút gần nhất, vì vậy chúng thay đổi sau mỗi 30 giây.)
Tốt hơn nữa, điện thoại hiện đại bao gồm các chip lưu trữ an toàn chống giả mạo (Apple gọi chúng là vòng vây an toàn; của Google được gọi là Titan) giữ bí mật của chúng ngay cả khi bạn xoay sở để tách chip và cố gắng khai thác dữ liệu ngoại tuyến từ nó thông qua các đầu dò điện thu nhỏ hoặc bằng cách ăn mòn hóa học kết hợp với kính hiển vi điện tử.
Tất nhiên, “giải pháp” này mang theo một vấn đề của riêng nó, đó là: làm cách nào để bạn sao lưu các hạt giống 2FA cực kỳ quan trọng đó trong trường hợp bạn bị mất điện thoại hoặc mua một chiếc điện thoại mới và muốn chuyển sang sử dụng nó?
Cách nguy hiểm để sao lưu hạt giống
Hầu hết các dịch vụ trực tuyến đều yêu cầu bạn thiết lập chuỗi mã 2FA cho tài khoản mới bằng cách nhập chuỗi dữ liệu ngẫu nhiên 20 byte, có nghĩa là gõ một cách cẩn thận 40 ký tự thập lục phân (cơ số 16), một ký tự cho mỗi nửa byte hoặc bằng cách nhập cẩn thận 32 ký tự trong mã hóa cơ số 32, sử dụng các ký tự A
đến Z
và sáu chữ số 234567
(số không và một không được sử dụng vì chúng giống như O-for-Oscar và I-for-Ấn Độ).
Ngoại trừ việc bạn thường có cơ hội tránh rắc rối khi khai thác thủ công bí mật bắt đầu của mình bằng cách quét một loại URL đặc biệt thông qua mã QR để thay thế.
Các URL 2FA đặc biệt này có tên tài khoản và phần khởi đầu được mã hóa vào chúng, như thế này (chúng tôi đã giới hạn phần khởi tạo ở đây là 10 byte hoặc 16 ký tự cơ sở 32 để giữ cho URL ngắn):
Bạn có thể đoán được điều này sẽ đi đến đâu.
Khi bạn kích hoạt camera trên điện thoại di động của mình để quét mã 2FA thuộc loại này, trước tiên, bạn nên chụp ảnh các mã này để sử dụng làm bản sao lưu…
…nhưng chúng tôi khuyên bạn không nên làm điều đó, bởi vì bất kỳ ai nắm giữ những bức ảnh đó sau này (ví dụ: từ tài khoản đám mây của bạn hoặc do bạn chuyển tiếp nó do nhầm lẫn) sẽ biết hạt giống bí mật của bạn và sẽ có thể tạo ra quyền dãy mã gồm sáu chữ số.
Do đó, cách sao lưu dữ liệu 2FA của bạn một cách đáng tin cậy không giữ bản sao văn bản gốc của những bí mật nhiều byte phiền phức đó?
Google Authenticator trên vỏ máy
Chà, Google Authenticator gần đây, nếu muộn, đã quyết định bắt đầu cung cấp dịch vụ “đồng bộ hóa tài khoản” 2FA để bạn có thể sao lưu các chuỗi mã 2FA của mình lên đám mây và sau đó khôi phục chúng vào một thiết bị mới, chẳng hạn như nếu bạn làm mất hoặc thay thế điện thoại của bạn.
Là một phương tiện truyền thông mô tả nó, “Google Authenticator bổ sung một tính năng quan trọng được chờ đợi từ lâu sau 13 năm.”
Nhưng quá trình chuyển dữ liệu đồng bộ hóa tài khoản này diễn ra an toàn như thế nào?
Dữ liệu hạt giống bí mật của bạn có được mã hóa khi chuyển sang đám mây của Google không?
Như bạn có thể tưởng tượng, phần tải lên đám mây khi truyền bí mật 2FA của bạn thực sự được mã hóa, bởi vì Google, giống như mọi công ty có ý thức bảo mật ngoài kia, đã sử dụng HTTPS và chỉ HTTPS cho tất cả lưu lượng truy cập dựa trên web của mình trong vài năm nay .
Nhưng tài khoản 2FA của bạn có thể được mã hóa bằng cụm mật khẩu duy nhất của bạn không trước khi họ rời khỏi thiết bị của bạn?
Bằng cách đó, chúng không thể bị chặn (dù hợp pháp hay không), trát đòi hầu tòa, bị rò rỉ hoặc bị đánh cắp khi chúng ở trong bộ lưu trữ đám mây.
Xét cho cùng, một cách nói khác của “in the cloud” chỉ đơn giản là “được lưu vào máy tính của người khác”.
Đoán xem nào?
Những người bạn lập trình độc lập và an ninh mạng của chúng tôi tại @mysk_co, người mà chúng tôi đã viết nhiều lần trước đây trên Naked Security, đã quyết định tìm hiểu.
Điều gì họ đã báo cáo nghe có vẻ không đáng khích lệ cho lắm.
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ bí mật giữa các thiết bị.
TL;DR: Đừng bật nó lên.
Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 26 Tháng Tư, 2023
Như bạn có thể thấy ở trên, @mysk_co đã tuyên bố như sau:
- Chi tiết tài khoản 2FA của bạn, bao gồm cả hạt giống, không được mã hóa bên trong gói mạng HTTPS của họ. Nói cách khác, sau khi mã hóa cấp độ vận chuyển bị loại bỏ sau khi tải lên, các hạt giống của bạn sẽ có sẵn cho Google và do đó, theo ngụ ý, cho bất kỳ ai có lệnh khám xét dữ liệu của bạn.
- Không có tùy chọn cụm mật khẩu để mã hóa nội dung tải lên của bạn trước khi nội dung đó rời khỏi thiết bị của bạn. Như nhóm @mysc_co đã chỉ ra, tính năng này khả dụng khi đồng bộ hóa thông tin từ Google Chrome, vì vậy có vẻ lạ là quy trình đồng bộ hóa 2FA không mang lại trải nghiệm người dùng tương tự.
Đây là URL được tạo ra mà họ đã tạo để thiết lập tài khoản 2FA mới trong ứng dụng Google Authenticator:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Và đây là một gói lấy lưu lượng mạng mà Google Authenticator đã đồng bộ hóa với đám mây, với mã hóa bảo mật cấp độ truyền tải (TLS) đã bị loại bỏ:
Lưu ý rằng các ký tự thập lục phân được đánh dấu khớp với 10 byte dữ liệu thô tương ứng với “bí mật” cơ số 32 trong URL ở trên:
$ luax Lua 5.4.5 Bản quyền (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Đã thêm các mô-đun yêu thích của Duck trong package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC
Phải làm gì?
Chúng tôi đồng ý với đề xuất của @mysk_co, đó là, “Chúng tôi khuyên bạn nên sử dụng ứng dụng mà không có tính năng đồng bộ hóa mới ngay bây giờ.”
Chúng tôi khá chắc chắn rằng Google sẽ sớm thêm tính năng cụm mật khẩu vào tính năng đồng bộ hóa 2FA, vì tính năng này đã tồn tại trong trình duyệt Chrome, như được giải thích trong trang trợ giúp riêng của Chrome:
Giữ thông tin của bạn riêng tư
Với cụm mật khẩu, bạn có thể sử dụng đám mây của Google để lưu trữ và đồng bộ hóa dữ liệu Chrome của mình mà không cần để Google đọc dữ liệu đó. […] Cụm mật khẩu là tùy chọn. Dữ liệu đã đồng bộ hóa của bạn luôn được bảo vệ bằng mã hóa khi chuyển tiếp.
Nếu bạn đã đồng bộ hóa hạt giống của mình, đừng hoảng sợ (chúng không được chia sẻ với Google theo cách giúp bất kỳ ai khác dễ dàng theo dõi chúng), nhưng bạn sẽ cần đặt lại trình tự 2FA cho bất kỳ tài khoản nào mà hiện tại bạn quyết định có lẽ nên giữ cho riêng mình .
Rốt cuộc, bạn có thể đã thiết lập 2FA cho các dịch vụ trực tuyến như tài khoản ngân hàng trong đó các điều khoản và điều kiện yêu cầu bạn phải giữ tất cả thông tin đăng nhập cho riêng mình, bao gồm cả mật khẩu và hạt giống, đồng thời không bao giờ chia sẻ chúng với bất kỳ ai, kể cả Google.
Nếu bạn vẫn có thói quen chụp ảnh mã QR cho hạt giống 2FA của mình, không suy nghĩ quá nhiều về nó, chúng tôi khuyên bạn không nên.
Như chúng tôi muốn nói trên Naked Security: Nếu nghi ngờ / Đừng đưa ra.
Dữ liệu mà bạn giữ cho riêng mình không thể bị rò rỉ, bị đánh cắp, bị triệu tập hoặc chia sẻ về sau với bên thứ ba dưới bất kỳ hình thức nào, dù cố ý hay do nhầm lẫn.
Cập nhật. Google có đã trả lời trên Twitter đến báo cáo của @mysk_co bằng cách thừa nhận rằng họ đã cố tình phát hành tính năng đồng bộ hóa tài khoản 2FA mà không có cái gọi là mã hóa đầu cuối (E2EE), nhưng tuyên bố rằng công ty đã "có kế hoạch cung cấp E2EE cho Google Authenticator." Công ty cũng tuyên bố rằng “tùy chọn sử dụng ứng dụng ngoại tuyến sẽ vẫn là một lựa chọn thay thế cho những người muốn tự quản lý chiến lược sao lưu của mình”. [2023-04-26T18:37Z]
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- có khả năng
- Có khả năng
- Giới thiệu
- về nó
- ở trên
- Tuyệt đối
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- ngang qua
- thêm vào
- thêm
- thêm
- thêm vào
- Thêm
- Sau
- chống lại
- Tất cả
- cho phép
- Đã
- Ngoài ra
- thay thế
- luôn luôn
- an
- và
- Android
- Một
- bất kì
- bất kỳ ai
- ứng dụng
- Apple
- ứng dụng
- LÀ
- Đến
- AS
- At
- tác giả
- tự động
- có sẵn
- tránh
- trở lại
- background-image
- sao lưu
- Ngân hàng
- Tài khoản ngân hàng
- cơ sở
- dựa
- BE
- bởi vì
- trước
- biên giới
- vay
- đáy
- Mang lại
- trình duyệt
- nhưng
- mua
- by
- tính
- Cuộc gọi
- máy ảnh
- CAN
- cẩn thận
- trường hợp
- Trung tâm
- cơ hội
- thay đổi
- Những thay đổi
- nhân vật
- hóa chất
- Chip
- Snacks
- cơ rôm
- trình duyệt chrome
- tuyên bố
- đám mây
- Đám mây lưu trữ
- mã
- màu sắc
- kết hợp
- thông thường
- công ty
- máy tính
- điều kiện
- thông thường
- quyền tác giả
- Khóa học
- che
- Credentials
- quan trọng
- An ninh mạng
- Nguy hiểm
- dữ liệu
- Ngày
- quyết định
- quyết định
- chi tiết
- thiết bị
- Thiết bị (Devices)
- ĐÀO
- chữ số
- Giao diện
- do
- làm
- Không
- don
- dont
- xuống
- dễ dàng
- hay
- Của người khác
- khuyến khích
- mã hóa
- mã hóa
- Cuối cùng đến cuối
- vào
- Ngay cả
- Mỗi
- ví dụ
- kinh nghiệm
- Giải thích
- Giải thích
- Đặc tính
- đặc sắc
- Hình
- Tìm kiếm
- Lửa
- Tên
- tiếp theo
- Trong
- Forward
- bạn bè
- từ
- tạo ra
- tạo ra
- được
- Cho
- được
- đi
- Google Chrome
- lấy
- Có
- cao
- giúp đỡ
- tại đây
- Nhấn mạnh
- tổ chức
- di chuột
- Độ đáng tin của
- HTTPS
- if
- hình ảnh
- in
- Mặt khác
- bao gồm
- Bao gồm
- Thông tin
- thông tin
- thay vì
- cố ý
- thú vị
- lợi ích
- trong
- iOS
- IT
- ITS
- nhảy
- chỉ
- Giữ
- giữ
- Biết
- nổi tiếng
- máy tính xách tay
- một lát sau
- bị rò rỉ
- Rời bỏ
- cho phép
- để
- Cấp
- Lượt thích
- Hạn chế
- Dòng
- đăng nhập
- chờ đợi từ lâu
- Xem
- giống như
- NHÌN
- thua
- LÀM CHO
- phần mềm độc hại
- quản lý
- thủ công
- Lợi nhuận
- Trận đấu
- max-width
- Có thể..
- có nghĩa
- Phương tiện truyền thông
- Kính hiển vi
- sai lầm
- di động
- điện thoại di động
- hiện đại
- Modules
- tháng
- chi tiết
- nhiều
- rất cần thiết
- An ninh trần trụi
- tên
- cụ thể là
- Cần
- mạng
- lưu lượng mạng
- Mới
- tin tức
- Không
- bình thường
- tại
- con số
- nhiều
- of
- off
- cung cấp
- cung cấp
- Ngoại tuyến
- thường
- on
- hàng loạt
- ONE
- Trực tuyến
- Tùy chọn
- or
- Nền tảng khác
- ra
- kết thúc
- riêng
- gói
- gói
- Panic
- một phần
- các bên tham gia
- Mật khẩu
- Mật khẩu
- paul
- nhìn trộm
- có lẽ
- riêng
- điện thoại
- điện thoại
- Hình ảnh
- Những bức ảnh
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- vị trí
- bài viết
- dự đoán
- thích hơn
- khá
- có lẽ
- Vấn đề
- quá trình
- Khóa Học
- bảo vệ
- QR code
- mã qr
- ngẫu nhiên
- Nguyên
- Đọc
- gần đây
- giới thiệu
- ghi âm
- đều đặn
- phát hành
- vẫn
- thay thế
- báo cáo
- yêu cầu
- nhà nghiên cứu
- khôi phục
- thường xuyên
- chạy
- s
- một cách an toàn
- tương tự
- nói
- quét
- quét
- Tìm kiếm
- Thứ hai
- giây
- Bí mật
- an toàn
- an ninh
- xem
- hạt giống
- hạt giống
- dường như
- Trình tự
- dịch vụ
- DỊCH VỤ
- định
- một số
- Chia sẻ
- chia sẻ
- ngắn
- nên
- đăng ký
- tương tự
- đơn giản
- Six
- Snap
- Ăn trộm
- So
- rắn
- Một người nào đó
- âm thanh
- đặc biệt
- Bắt đầu
- bắt đầu cung cấp
- Bắt đầu
- bắt đầu
- quy định
- ở lại
- ăn cắp
- là gắn
- hàng
- lưu trữ
- Những câu chuyện
- ngay
- Chiến lược
- Chuỗi
- mạnh mẽ
- như vậy
- SVG
- Công tắc điện
- Máy tính bảng
- Hãy
- làm giả bằng chứng
- nhóm
- về
- điều khoản và điều kiện
- hơn
- việc này
- Sản phẩm
- Dòng
- cung cấp their dịch
- Them
- sau đó
- Đó
- vì thế
- họ
- Suy nghĩ
- Thứ ba
- các bên thứ ba
- điều này
- những
- thời gian
- thời gian
- đến
- bây giờ
- quá
- hàng đầu
- theo dõi
- giao thông
- chuyển
- Chuyển nhượng
- quá cảnh
- quá trình chuyển đổi
- minh bạch
- vận chuyển
- đúng
- XOAY
- kiểu
- thường
- độc đáo
- mở khóa
- không sử dụng
- Cập nhật
- cập nhật
- URL
- sử dụng
- đã sử dụng
- người sử dang
- Kinh nghiệm người dùng
- Người sử dụng
- sử dụng
- thường
- thông qua
- Truy cập
- muốn
- Sự bảo đảm
- Đường..
- cách
- we
- Dựa trên web
- Website
- tuần
- là
- Điều gì
- khi nào
- bất cứ khi nào
- liệu
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- chiều rộng
- sẽ
- với
- không có
- từ
- viết
- năm
- nhưng
- Bạn
- trên màn hình
- mình
- zephyrnet
- không