Η Google διαρρέει μυστικά 2FA – οι ερευνητές συμβουλεύουν να μην χρησιμοποιήσετε τη νέα λειτουργία “συγχρονισμού λογαριασμού” προς το παρόν – Naked Security
ο Επαληθευτής Google Το 2FA εμφανίστηκε σταθερά στις ειδήσεις για την ασφάλεια στον κυβερνοχώρο πρόσφατα, καθώς η Google πρόσθεσε μια λειτουργία που σας επιτρέπει να δημιουργείτε αντίγραφα ασφαλείας των δεδομένων σας 2FA στο cloud και στη συνέχεια να τα επαναφέρετε σε άλλες συσκευές.
Για να εξηγήσω, 2FA (Έλεγχος ταυτότητας δύο παραγόντων) Μια εφαρμογή είναι ένα από εκείνα τα προγράμματα που εκτελείτε στο κινητό ή το tablet σας για να δημιουργήσετε κωδικούς σύνδεσης μίας χρήσης που βοηθούν στην προστασία των διαδικτυακών σας λογαριασμών με περισσότερα από έναν κωδικό πρόσβασης.
Το πρόβλημα με τους παραδοσιακούς κωδικούς πρόσβασης είναι ότι υπάρχουν πολλοί τρόποι με τους οποίους οι απατεώνες μπορούν να τους ζητιανέψουν, να τους κλέψουν ή να τους δανειστούν.
εκεί σέρφινγκ ώμων, όπου ένας φασαριόζος ανάμεσά σας κοιτάει πάνω από τον ώμο σας καθώς πληκτρολογείτε. εκεί Εμπνευσμένη εικασία, όπου χρησιμοποιήσατε μια δήλωση ότι ο απατεώνας μπορούσε να προβλέψει με βάση τα προσωπικά σας ενδιαφέροντα. εκεί phishing, όπου παρασύρεστε να παραδώσετε τον κωδικό πρόσβασής σας σε έναν απατεώνα. Και εκεί keyloggingόπου το κακόβουλο λογισμικό που έχει ήδη εμφυτευθεί στον υπολογιστή σας παρακολουθεί αυτό που πληκτρολογείτε και ξεκινά κρυφά την εγγραφή κάθε φορά που επισκέπτεστε έναν ιστότοπο που φαίνεται ενδιαφέρον.
Και δεδομένου ότι οι παραδοσιακοί κωδικοί πρόσβασης παραμένουν οι ίδιοι από σύνδεση σε σύνδεση, οι απατεώνες που καταλαβαίνουν τον κωδικό πρόσβασης σήμερα μπορούν συχνά να τον χρησιμοποιούν ξανά και ξανά με τον ελεύθερο χρόνο τους, συχνά για εβδομάδες, ενδεχομένως μήνες και μερικές φορές χρόνια.
Έτσι, οι εφαρμογές 2FA, με κωδικούς σύνδεσης μίας χρήσης, αυξάνουν τον κανονικό σας κωδικό πρόσβασης με ένα επιπλέον μυστικό, συνήθως έναν εξαψήφιο αριθμό, που αλλάζει κάθε φορά.
Το τηλέφωνό σας ως δεύτερος παράγοντας
Οι εξαψήφιοι κωδικοί που δημιουργούνται συνήθως από εφαρμογές 2FA υπολογίζονται απευθείας στο τηλέφωνό σας και όχι στον φορητό υπολογιστή σας. Βασίζονται σε ένα “κλειδί” ή “κλειδί εκκίνησης” που είναι αποθηκευμένο στο τηλέφωνό σας. Και προστατεύεται από τον κωδικό κλειδώματος στο τηλέφωνό σας και όχι από τυχόν κωδικούς πρόσβασης που πληκτρολογείτε τακτικά στον φορητό υπολογιστή σας.
Με αυτόν τον τρόπο, οι απατεώνες που ζητιανεύουν, δανείζονται ή κλέβουν τον κανονικό κωδικό πρόσβασής σας δεν μπορούν να πάνε απευθείας στον λογαριασμό σας.
Αυτοί οι εισβολείς χρειάζονται επίσης πρόσβαση στο τηλέφωνό σας και πρέπει να μπορούν να ξεκλειδώσουν το τηλέφωνό σας για να εκτελέσουν την εφαρμογή και να λάβουν τον κωδικό μιας χρήσης. (Οι κωδικοί βασίζονται συνήθως στην ημερομηνία και την ώρα με ακρίβεια μισού λεπτού, επομένως αλλάζουν κάθε 30 δευτερόλεπτα.)
Ακόμα καλύτερα, τα νεότερα τηλέφωνα περιλαμβάνουν τσιπ ασφαλούς αποθήκευσης που δεν παραβιάζονται (τα καλεί η Apple Ασφαλής περιοχή; Το Google Files είναι γνωστό ως Τιτάν) που κρατά τα μυστικά του ακόμα κι αν μπορείτε να αποσυνδέσετε το τσιπ και να προσπαθήσετε να εξάγετε δεδομένα από αυτό εκτός σύνδεσης μέσω μικροσκοπικών ηλεκτρικών ανιχνευτών ή με χημική χάραξη σε συνδυασμό με ένα ηλεκτρονικό μικροσκόπιο.
Φυσικά, αυτή η “λύση” φέρνει μαζί της το δικό της πρόβλημα, δηλαδή: πώς δημιουργείτε αντίγραφα ασφαλείας του πολύ σημαντικού 2FA seed σας σε περίπτωση που χάσετε το τηλέφωνό σας ή αγοράσετε ένα νέο και θέλετε να μεταβείτε σε αυτό;
Ο επικίνδυνος τρόπος για να στηρίξετε τον σπόρο
Οι περισσότερες διαδικτυακές υπηρεσίες απαιτούν από εσάς να ρυθμίσετε μια ακολουθία διακριτικών 2FA για έναν νέο λογαριασμό εισάγοντας μια συμβολοσειρά 20 byte τυχαίων δεδομένων, που σημαίνει ότι πληκτρολογείτε με κόπο 40 δεκαεξαδικούς χαρακτήρες (βάση 16), έναν για κάθε μισό byte ή εισάγοντας προσεκτικά 32 χαρακτήρες σε μια κωδικοποιητική βάση-32, η οποία χρησιμοποιεί χαρακτήρες A προς την Z Και οι έξι αριθμοί 234567 (Το μηδέν και το ένα δεν χρησιμοποιούνται γιατί ακούγονται σαν O-for-Oscar και I-for-India).
Εκτός από το ότι συνήθως έχετε την ευκαιρία να αποφύγετε την ταλαιπωρία να κάνετε μη αυτόματο κλικ στο αρχικό σας μυστικό, σαρώνοντας ένα ειδικό είδος URL μέσω ενός κωδικού QR.
Αυτές οι ιδιωτικές διευθύνσεις URL 2FA έχουν το όνομα του λογαριασμού και τον κρυπτογραφημένο κωδικό, όπως αυτό (περιορίσαμε εδώ τα πρώτα σε 10 byte ή 16 βασικούς χαρακτήρες 32, για να διατηρήσουμε τη διεύθυνση URL σύντομη):
Μπορείτε πιθανώς να μαντέψετε πού πηγαίνει αυτό.
Όταν χρησιμοποιείτε την κάμερα του κινητού σας τηλεφώνου για να σαρώσετε κωδικούς 2FA αυτού του είδους, είναι δελεαστικό να τραβήξετε πρώτα μια φωτογραφία των κωδικών, για να τους χρησιμοποιήσετε ως εφεδρικό…
…αλλά σας προτρέπουμε να μην το κάνετε, γιατί όποιος λάβει αυτές τις εικόνες αργότερα (για παράδειγμα από τον λογαριασμό σας στο cloud ή επειδή τις προωθείτε κατά λάθος) θα γνωρίζει το μυστικό σας σπέρμα και θα μπορεί να δημιουργήσει τη σωστή ακολουθία των έξι -ψηφιακοί κωδικοί.
Πώς, λοιπόν, να δημιουργήσετε αξιόπιστα αντίγραφα ασφαλείας των δεδομένων σας 2FA χωρίς να διατηρείτε αντίγραφα απλού κειμένου Ποια είναι αυτά τα ενοχλητικά μυστικά πολλών byte;
Google Authenticator στο πλαίσιο
Λοιπόν, αν είναι αργά, ο Επαληθευτής Google αποφάσισε πρόσφατα να αρχίσει να προσφέρει μια υπηρεσία “συγχρονισμού λογαριασμού” 2FA, ώστε να μπορείτε να αντιγράψετε ακολουθίες διακριτικών 2FA στο σύννεφο και να τις επαναφέρετε αργότερα σε μια νέα συσκευή, ας πούμε εάν χάσετε ή ανταλλάξετε το τηλέφωνό σας.
ως ενιαίο μέσο ενημέρωσης περιγράφεται Αυτός αυτή, “Το Google Authenticator προσθέτει μια σημαντική και πολυαναμενόμενη λειτουργία μετά από 13 χρόνια.”
Αλλά πόσο ασφαλής είναι αυτός ο λογαριασμός για συγχρονισμό μεταφοράς δεδομένων;
Είναι κρυπτογραφημένα τα εμπιστευτικά δεδομένα σας κατά τη μετάδοση στο Google cloud;
Όπως μπορείτε να φανταστείτε, το μέρος της μεταφόρτωσης στο σύννεφο της μετάδοσης των μυστικών σας 2FA είναι ήδη κρυπτογραφημένο, επειδή η Google, όπως κάθε εταιρεία με γνώμονα την ασφάλεια εκεί έξω, χρησιμοποιεί το HTTPS-and-only-HTTPS για όλη την επισκεψιμότητα που βασίζεται στον ιστό εδώ και αρκετά χρόνια. .
Μπορούν όμως οι λογαριασμοί ελέγχου ταυτότητας δύο παραγόντων να κρυπτογραφηθούν με τη μοναδική σας φράση πρόσβασης πριν φύγουν από τη συσκευή σας?
Με αυτόν τον τρόπο, δεν μπορούν να υποκλαπούν (είτε νόμιμα είτε όχι), να κληθούν, να διαρρεύσουν ή να κλαπούν ενώ βρίσκονται σε αποθήκευση cloud.
Άλλωστε, ένας άλλος τρόπος για να πούμε “στο σύννεφο” είναι απλώς “να το αποθηκεύσουμε στον υπολογιστή κάποιου άλλου”.
Μάντεψε?
Έχουμε τους φίλους μας που είναι ελεύθεροι επαγγελματίες και προγραμματιστές στον τομέα της ασφάλειας στον κυβερνοχώρο @τιτίβισμαγια το οποίο έχουμε γράψει πολλές φορές στο παρελθόν στο Naked Security, αποφάσισε να το μάθει.
Τι Κανω ΑΝΑΦΟΡΑ Δεν ακούγεται τρομερά ενθαρρυντικό.
Η Google μόλις ενημέρωσε την εφαρμογή 2FA Authenticator και πρόσθεσε μια απαραίτητη λειτουργία: τη δυνατότητα συγχρονισμού μυστικών μεταξύ συσκευών.
TL; ΔΡ: Μην το ανάβεις.
Η νέα ενημέρωση επιτρέπει στους χρήστες να συνδέονται με τους λογαριασμούς τους Google και να συγχρονίζουν μυστικά ελέγχου ταυτότητας δύο παραγόντων στις συσκευές τους iOS και Android. pic.twitter.com/a8hhelupZR
– Misk 🇨🇦🇩🇪 (@mysk_co) 26 Απριλίου 2023
Όπως μπορείτε να δείτε παραπάνω, ο @mysk_co ισχυρίστηκε τα εξής:
- Τα στοιχεία του λογαριασμού σας 2FA, συμπεριλαμβανομένων των σπόρων, δεν κρυπτογραφήθηκαν στα πακέτα δικτύου HTTPS. Με άλλα λόγια, μόλις καταργήσετε την κρυπτογράφηση σε επίπεδο μεταφοράς μετά την άφιξη της μεταφόρτωσής σας, ο σπόρος σας είναι διαθέσιμος στην Google και, κατ’ επέκταση, σε οποιονδήποτε έχει εντολή να ανακτήσει τα δεδομένα σας.
- Δεν υπάρχει επιλογή φράσης πρόσβασης για την κρυπτογράφηση της λήψης προτού φύγει από τη συσκευή σας. Όπως επισημαίνει η ομάδα @mysc_co, αυτή η δυνατότητα είναι διαθέσιμη κατά το συγχρονισμό πληροφοριών από το Google Chrome, επομένως φαίνεται περίεργο το γεγονός ότι η διαδικασία συγχρονισμού 2FA δεν προσφέρει παρόμοια εμπειρία χρήστη.
Ακολουθεί η διεύθυνση URL που δημιουργήθηκε για τη δημιουργία ενός νέου λογαριασμού 2FA στην εφαρμογή Επαληθευτής Google:
otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon
Ακολουθεί ένα στιγμιότυπο της κίνησης δικτύου που συγχρονίστηκε ο Επαληθευτής Google με το cloud, με την κρυπτογράφηση Transport Security (TLS) να έχει αφαιρεθεί:
Σημειώστε ότι οι διακριτοί δεκαεξαδικοί χαρακτήρες αντιστοιχούν στα ακατέργαστα 10 byte δεδομένων που αντιστοιχούν στο “μυστικό” βάσης-32 στην παραπάνω διεύθυνση URL:
$ luax
Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio
__
___( o)>
\ <_. )
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Added Duck's favourite modules in package.preload{}
> b32seed = '6QYW4P6KWAFGCUWM'
> rawseed = base.unb32(b32seed)
> rawseed:len()
10
> base.b16(rawseed)
F4316E3FCAB00A6152CC
τι πρέπει να γίνει?
Συμφωνούμε με την πρόταση του @mysk_co, η οποία είναι, Προτείνουμε τη χρήση της εφαρμογής χωρίς τη νέα λειτουργία συγχρονισμού αυτήν τη στιγμή.
Είμαστε βέβαιοι ότι η Google θα προσθέσει σύντομα μια λειτουργία φράσης πρόσβασης στη λειτουργία συγχρονισμού 2FA, δεδομένης αυτής της δυνατότητας υπάρχει ήδη Στο πρόγραμμα περιήγησης Chrome, όπως εξηγείται στις σελίδες βοήθειας του Chrome:
Κρατήστε τα στοιχεία σας απόρρητα
Με μια φράση πρόσβασης, μπορείτε να χρησιμοποιήσετε το Google cloud για να αποθηκεύσετε και να συγχρονίσετε τα δεδομένα σας Chrome χωρίς να επιτρέψετε στην Google να τα διαβάσει. […] Οι φράσεις πρόσβασης είναι προαιρετικές. Τα συγχρονισμένα δεδομένα σας προστατεύονται πάντα με κρυπτογράφηση κατά τη μεταφορά.
Εάν έχετε ήδη συγχρονίσει τους σπόρους σας, Μην πανικοβάλλεστε (δεν κοινοποιήθηκαν στην Google με τρόπο που θα διευκόλυνε την κατασκοπεία τους από οποιονδήποτε άλλον), αλλά θα πρέπει να επαναφέρετε τη σειρά 2FA για οποιονδήποτε λογαριασμό τώρα αποφασίσετε ότι πιθανότατα θα έπρεπε να είχατε κρατήσει στον εαυτό σου.
Σε τελική ανάλυση, μπορεί να έχετε ρυθμίσει το 2FA για διαδικτυακές υπηρεσίες, όπως τραπεζικούς λογαριασμούς, όπου οι όροι και οι προϋποθέσεις απαιτούν να διατηρείτε όλα τα διαπιστευτήρια σύνδεσής σας για τον εαυτό σας, συμπεριλαμβανομένων των κωδικών πρόσβασης και των σημάτων, και να μην τα μοιράζεστε ποτέ με κανέναν, ούτε καν με την Google.
Εάν έχετε τη συνήθεια να τραβάτε φωτογραφίες με 2FA seed QR codes ούτως ή άλλως, Χωρίς να το σκέφτεστε πολύ, σας συνιστούμε να μην το κάνετε.
Όπως θα θέλαμε να πούμε στο Naked Security: Εάν έχετε αμφιβολίες / μην το κάνετε.
Τα δεδομένα που κρατάτε για τον εαυτό σας δεν μπορούν να διαρρεύσουν, να κλαπούν, να συλληφθούν ή να μοιραστούν με τρίτους οποιουδήποτε είδους, είτε σκόπιμα είτε κατά λάθος.
για ενημέρωση. Η Google έχει Απάντησε στο Twitter στην αναφορά του @mysk_co, αναγνωρίζοντας ότι κυκλοφόρησε σκόπιμα μια λειτουργία συγχρονισμού λογαριασμού 2FA χωρίς αυτό που ονομάζεται κρυπτογράφηση από άκρο σε άκρο (E2EE), αλλά ισχυρίστηκε ότι η εταιρεία είχε Σχεδιάζει να προσφέρει E2EE για τον Επαληθευτή Google σε συνεχή βάση. Η εταιρεία δήλωσε επίσης ότιΗ επιλογή χρήσης της εφαρμογής εκτός σύνδεσης θα παραμείνει μια εναλλακτική λύση για όσους προτιμούν να διαχειρίζονται τη δική τους στρατηγική δημιουργίας αντιγράφων ασφαλείας.” [2023-04-26T18:37Z]
“Τηλεοπτικός γκουρού. Υποστηρικτής της ζόμπι. Οπαδός του διαδικτύου. Πιστοποιημένος μπύρας. Υπερήφανος αναγνώστης. Φανταστικός αλκοόλ. Βραβευμένος επιχειρηματίας.”