谷歌身份验证 2FA 应用程序最近在网络安全新闻报道中占有重要地位,谷歌添加了一项功能,让您可以将 2FA 数据备份到云端,然后将其恢复到其他设备上。
解释一下,一个 2FA (双因素认证) 应用程序是您在手机或平板电脑上运行的程序之一,用于生成一次性登录代码,这些代码不仅可以使用密码来帮助保护您的在线帐户。
传统密码的问题在于,骗子可以通过多种方式乞求、窃取或借用它们。
有 肩冲浪,当你输入时,你中间的流氓偷看你的肩膀; 有 灵感猜测,您在其中使用了骗子可以根据您的个人兴趣预测的短语; 有 钓鱼,您被引诱将密码交给冒名顶替者; 还有 键盘记录,其中已经植入您计算机的恶意软件会跟踪您键入的内容,并在您访问看起来很有趣的网站时秘密开始记录。
而且由于传统密码通常在每次登录时都保持不变,因此今天破解密码的骗子通常可以在闲暇时反复使用它,通常持续数周,也许数月,有时甚至数年。
因此,使用一次性登录代码的 2FA 应用程序会用一个额外的密码来扩充您的常规密码,通常是一个六位数的数字,每次都会更改。
你的手机作为第二个因素
2FA 应用程序通常生成的六位数代码直接在您的手机上计算,而不是在您的笔记本电脑上; 它们基于存储在您手机上的“种子”或“启动密钥”; 它们受到您手机上的锁定代码的保护,而不是您通常在笔记本电脑上输入的任何密码。
这样,乞求、借用或窃取您的常规密码的骗子就无法直接进入您的帐户。
这些攻击者还需要访问您的手机,他们需要能够解锁您的手机才能运行该应用程序并获取一次性代码。 (代码通常基于精确到半分钟的日期和时间,因此它们每 30 秒更改一次。)
更好的是,现代手机包括防篡改安全存储芯片(Apple 称其为 安全飞地; 谷歌被称为 泰坦) 即使您设法分离芯片并尝试通过微型电子探针或通过化学蚀刻与电子显微镜相结合来离线挖掘数据,它们也能保守秘密。
当然,这个“解决方案”带来了它自己的一个问题,即:你如何备份那些非常重要的 2FA 种子,以防你丢失手机,或者买了一部新手机并想切换到它?
备份种子的危险方法
大多数在线服务要求您通过输入 2 字节的随机数据字符串为新帐户设置 20FA 代码序列,这意味着费力地输入 40 个十六进制(base-16)字符,每半字节一个,或者通过仔细输入 base-32 编码的 32 个字符,它使用字符 A
至 Z
和六位数 234567
(零和一未使用,因为它们看起来像 O-for-Oscar 和 I-for-India)。
除了您通常有机会通过二维码扫描一种特殊的 URL 来避免手动输入起始密码的麻烦。
这些特殊的 2FA URL 将帐户名称和起始种子编码到其中,如下所示(我们将此处的种子限制为 10 个字节,或 16 个 base-32 字符,以保持 URL 简短):
您可能会猜到这是怎么回事。
当您打开手机相机扫描此类 2FA 代码时,很容易先拍下这些代码的照片,用作备份……
......但我们敦促你不要那样做,因为任何人以后得到这些图片(例如从你的云帐户,或者因为你错误地转发它)都会知道你的秘密种子,并且能够轻松生成正确的六位代码序列。
因此,如何可靠地备份您的 2FA 数据 不保留明文副本 那些讨厌的多字节秘密?
案例中的谷歌身份验证器
好吧,Google Authenticator 最近决定开始提供 2FA“帐户同步”服务,这样你就可以将 2FA 代码序列备份到云端,然后将它们恢复到新设备,例如,如果你丢失或更换您的手机。
作为一家媒体机构 描述 它, “谷歌身份验证器在 13 年后添加了一项关键的期待已久的功能。”
但是这种帐户同步数据传输的安全性如何呢?
您的秘密种子数据在传输到 Google 云的过程中是否加密?
可以想象,传输 2FA 机密的云上传部分确实是加密的,因为谷歌和所有注重安全的公司一样,多年来一直在其所有基于 Web 的流量中使用 HTTPS-and-only-HTTPS .
但是您的 2FA 帐户可以使用您独有的密码加密吗? 在他们离开您的设备之前?
这样,当它们在云存储中时,它们就不会被拦截(无论合法与否)、传唤、泄露或被盗。
毕竟,“在云端”的另一种说法就是“保存到其他人的计算机上”。
你猜怎么了?
我们的独立编码员和网络安全争论的朋友在 @mysk_co,我们之前在 Naked Security 上多次写过,决定找出答案。
什么是 他们报道 听起来不是很鼓舞人心。
谷歌刚刚更新了其 2FA Authenticator 应用程序并添加了一项急需的功能:跨设备同步机密的能力。
TL;DR:不要打开它。
新更新允许用户使用他们的 Google 帐户登录并在他们的 iOS 和 Android 设备上同步 2FA 秘密。... pic.twitter.com/a8hhelupZR
- Mysk ⇨🇦🇩🇪 (@mysk_co) 2023 年 4 月 26 日
正如您在上面看到的,@mysk_co 声明如下:
- 您的 2FA 帐户详细信息(包括种子)在其 HTTPS 网络数据包中未加密。 换句话说,一旦传输级加密在上传到达后被剥离,您的种子就可供谷歌使用,因此,暗示任何对您的数据有搜查令的人。
- 在上传离开您的设备之前,没有密码选项来加密您的上传。 正如@mysc_co 团队指出的那样,此功能在从 Google Chrome 同步信息时可用,因此 2FA 同步过程不提供类似的用户体验似乎很奇怪。
这是他们为在 Google Authenticator 应用程序中设置新的 2FA 帐户而生成的编造 URL:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
这是 Google Authenticator 与云同步的网络流量的数据包抓取,其中传输级安全 (TLS) 加密被剥离:
请注意,突出显示的十六进制字符与上面 URL 中对应于 base-10“secret”的原始 32 字节数据相匹配:
$ luax Lua 5.4.5 版权所有 (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. )~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ 在 package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC 添加了 Duck 最喜欢的模块
怎么办呢?
我们同意@mysk_co 的建议,即, “我们建议暂时使用没有新同步功能的应用程序。”
鉴于此功能,我们非常确定 Google 会很快将密码短语功能添加到 2FA 同步功能中 已经存在 在 Chrome 浏览器中,如 Chrome 自己的帮助页面中所述:
将您的信息保密
通过密码,您可以使用 Google 的云存储和同步您的 Chrome 数据,而无需让 Google 读取。 [...] 密码短语是可选的。 您的同步数据在传输过程中始终受到加密保护。
如果你已经同步了你的种子, 不要惊慌(它们与 Google 共享的方式不会让其他人很容易窥探到它们),但是您需要为您现在认为可能应该保密的任何帐户重置 2FA 序列.
毕竟,您可能为银行账户等在线服务设置了 2FA,其中的条款和条件要求您将所有登录凭证保密,包括密码和种子,并且永远不要与任何人分享,即使是谷歌。
如果您习惯于为您的 2FA 种子拍摄 QR 码照片, 无需考虑太多,我们建议您不要这样做。
正如我们喜欢在 Naked Security 上所说的那样: 如果有疑问/不要说出来。
您自己保留的数据不会泄露、被盗、被传唤或与任何类型的第三方共享,无论是有意还是无意。
更新。 谷歌有 在Twitter上回复 @mysk_co 的报告承认它有意发布了 2FA 帐户同步功能而没有所谓的端到端加密(E2EE),但声称该公司有 “计划为谷歌身份验证器提供 E2EE。” 该公司还表示,“对于那些喜欢自己管理备份策略的人来说,离线使用该应用程序的选项仍然是一种选择”。 [2023-04-26T18:37Z]
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 13
- 214
- 2FA
- 30
- 70
- a
- 对,能力--
- Able
- 关于
- 关于它
- 以上
- 绝对
- ACCESS
- 账号管理
- 账户
- 横过
- 加
- 添加
- 添加
- 额外
- 添加
- 后
- 驳
- 所有类型
- 允许
- 已经
- 还
- 替代
- 时刻
- an
- 和
- 安卓
- 另一个
- 任何
- 任何人
- 应用
- Apple
- 应用
- 保健
- 抵达
- AS
- At
- 作者
- 汽车
- 可使用
- 避免
- 背部
- 背景图像
- 备份工具
- 银行
- 银行账户
- 基地
- 基于
- BE
- 因为
- before
- 边界
- 借
- 半身裙/裤
- 带来
- 浏览器
- 但是
- 购买
- by
- 计算
- 呼叫
- 相机
- CAN
- 小心
- 案件
- Center
- 机会
- 更改
- 更改
- 字符
- 化学
- 芯片
- 碎屑
- 铬系列
- chrome浏览器
- 声称
- 云端技术
- 云存储
- 码
- 颜色
- 结合
- 常用
- 公司
- 一台
- 条件
- 常规
- 版权
- 套餐
- 外壳
- 资历
- 危急
- 网络安全
- 危险的
- data
- 日期
- 决定
- 决定
- 详情
- 设备
- 设备
- DIG
- 数字
- 屏 显:
- do
- 不
- 不会
- 不
- 别
- 向下
- 易
- 或
- 其他的
- 鼓励
- 加密
- 加密
- 端至端
- 进入
- 甚至
- 所有的
- 例子
- 体验
- 说明
- 解释
- 专栏
- 精选
- 数字
- 找到最适合您的地方
- 大火
- (名字)
- 以下
- 针对
- 向前
- 朋友
- 止
- 生成
- 产生
- 得到
- 给
- 特定
- 去
- 谷歌
- Google Chrome
- 谷歌的
- 抢
- 有
- 高度
- 帮助
- 相关信息
- 突出
- 举行
- 徘徊
- 创新中心
- HTTPS
- if
- 想像
- in
- 其他
- 包括
- 包含
- info
- 信息
- 代替
- 故意地
- 有趣
- 利益
- 成
- iOS
- IT
- 它的
- 跳
- 只是
- 保持
- 保持
- 知道
- 已知
- 笔记本电脑
- 后来
- 泄漏
- 离开
- 让
- 让
- Level
- 喜欢
- 有限
- Line
- 登录
- 期待已久
- 看
- 看起来像
- LOOKS
- 失去
- 制作
- 恶意软件
- 管理
- 手动
- 余量
- 匹配
- 最大宽度
- 可能..
- 手段
- 媒体
- 显微镜
- 错误
- 联络号码
- 移动电话
- 现代
- 模块
- 个月
- 更多
- 许多
- 急需
- 裸体安全
- 姓名
- 亦即
- 需求
- 网络
- 网络流量
- 全新
- 消息
- 没有
- 正常
- 现在
- 数
- 众多
- of
- 折扣
- 提供
- 提供
- 这一点在线下监测数字化产品的影响方面尤为明显。
- 经常
- on
- 一旦
- 一
- 在线
- 附加选项
- or
- 其他名称
- 输出
- 超过
- 己
- 包
- 包
- 恐慌
- 部分
- 各方
- 密码
- 密码
- 保罗
- 偷窥
- 也许
- 个人
- 电话
- 手机
- 图片
- 图片
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 位置
- 帖子
- 预测
- 比较喜欢
- 漂亮
- 大概
- 市场问题
- 过程
- 训练课程
- 保护
- QR码
- QR码
- 随机
- 原
- 阅读
- 最近
- 建议
- 了解
- 定期
- 发布
- 留
- 更换
- 报告
- 要求
- 研究人员
- 恢复
- 常规
- 运行
- s
- 安然
- 同
- 说
- 浏览
- 扫描
- 搜索
- 其次
- 秒
- 秘密
- 安全
- 保安
- 看到
- 种子
- 种子
- 似乎
- 序列
- 服务
- 特色服务
- 集
- 几个
- Share
- 共用的,
- 短
- 应该
- 签署
- 类似
- 只是
- SIX
- 捕捉
- 史努比
- So
- 固体
- 有人
- 听起来
- 特别
- 开始
- 开始提供
- 开始
- 启动
- 说
- 留
- 被盗
- 存储
- 商店
- 存储
- 故事
- 直
- 策略
- 串
- 非常
- 这样
- SVG的
- Switch 开关
- 平板电脑
- 采取
- 防篡改
- 团队
- 条款
- 条款和条件
- 比
- 这
- 线
- 其
- 他们
- 然后
- 那里。
- 因此
- 他们
- 思维
- 第三
- 第三者
- Free Introduction
- 那些
- 次
- 时
- 至
- 今晚
- 也有
- 最佳
- 跟踪时
- 交通
- 转让
- 传输
- 过境
- 过渡
- 透明
- 运输
- true
- 转
- 类型
- 一般
- 独特地
- 开锁
- 未使用
- 更新
- 更新
- 网址
- 使用
- 用过的
- 用户
- 用户体验
- 用户
- 运用
- 平时
- 通过
- 参观
- 想
- 认股证
- 方法..
- 方法
- we
- 基于网络的
- 您的网站
- 周
- 为
- 什么是
- ,尤其是
- 每当
- 是否
- 这
- 而
- WHO
- 宽度
- 将
- 也完全不需要
- 话
- 书面
- 年
- 但
- 完全
- 您一站式解决方案
- 你自己
- 和风网
- 零