Niebezpieczeństwo związane z nową kopią zapasową Google w chmurze dla 2FA Authenticator

Google wydało aktualizację swojej popularnej aplikacji uwierzytelniającej, która przechowuje „jednorazowe hasło” w chmurze, dzięki czemu użytkownicy, którzy stracą urządzenie z uwierzytelniaczem, mogą zachować dostęp do uwierzytelniania dwuskładnikowego (2FA).

Na blogu z 24 kwietnia post Ogłaszając aktualizację, Google powiedział, że jednorazowe kody będą przechowywane na koncie Google użytkownika, twierdząc, że użytkownicy będą „lepiej chronieni przed zakazami” i że zwiększy to „wygodę i bezpieczeństwo”.

W Reddicie w styczniu br post Na forum r/Cryptocurrency Redditor u/pojut napisał, że chociaż aktualizacja pomaga tym, którzy zgubili urządzenie z aplikacją uwierzytelniającą, czyni je również bardziej podatnymi na ataki hakerów.

Dzięki zabezpieczeniu go w pamięci masowej w chmurze połączonej z kontem Google użytkownika oznacza to, że każdy, kto może uzyskać dostęp do hasła Google użytkownika, uzyska następnie pełny dostęp do swoich aplikacji powiązanych z tokenem uwierzytelniającym.

Użytkownik zasugerował, że jednym z możliwych sposobów obejścia problemu SMS 2FA jest użycie starego telefonu, który służy wyłącznie do przechowywania aplikacji uwierzytelniającej.

„Zdecydowanie zalecałbym również, jeśli to możliwe, posiadanie osobnego urządzenia (być może starego telefonu lub tabletu), którego jedynym celem w życiu jest używanie wybranej aplikacji uwierzytelniającej. Nie trzymaj na nim niczego innego i nie używaj go do niczego innego”.

Podobnie twórcy cyberbezpieczeństwa Mysk przybrał na wadze Świergot aby ostrzec przed dodatkowymi komplikacjami związanymi z rozwiązaniem Google opartym na przechowywaniu w chmurze dla 2FA.

Może to okazać się poważnym problemem dla użytkowników korzystających z Google Authenticator dla 2FA do logowania się na konta giełdy kryptowalut i innych usług związanych z finansami.

Inne problemy z bezpieczeństwem 2FA

Najczęstszym hackiem 2FA jest rodzaj oszustwa tożsamości znanego jako „zamiana karty SIM”, w którym oszuści przejmują kontrolę nad numerem telefonu, nakłaniając dostawcę usług telekomunikacyjnych do powiązania numeru z własną kartą SIM.

Niedawny tego przykład można zobaczyć w pozwie przeciwko amerykańskiej giełdzie kryptowalut Coinbase, w której klient twierdził, że stracił „90% swoich oszczędności życia” po tym, jak stał się ofiarą takiego ataku.

Warto zauważyć, że sam Coinbase zachęca do korzystania z aplikacji uwierzytelniających dla 2FA w przeciwieństwie do SMS-ów, opisać SMS 2FA jako „najmniej bezpieczna” forma uwierzytelniania.

Powiązany: OFAC nakłada sankcje na handlowców OTC, którzy przekonwertowali kryptowaluty dla grupy Lazarus z Korei Północnej

Na Reddicie użytkownicy omawiali pozew, a nawet sugerowali zakazanie SMS 2FA, chociaż jeden z użytkowników Reddit zauważył, że jest to obecnie jedyna dostępna opcja uwierzytelniania dla szeregu usług związanych z fintech i kryptowalutami:

„Niestety, wiele usług, z których korzystam, nie oferuje jeszcze Authenticator 2FA. Ale zdecydowanie uważam, że metoda wysyłania SMS-ów okazała się niebezpieczna i powinna zostać zakazana”.

CertiK, firma zajmująca się bezpieczeństwem Blockchain, ostrzegła przed niebezpieczeństwami związanymi z używaniem SMS 2FA, a jej ekspert ds.

Czasopismo: 4 na 10 sprzedaży NFT to fałszywki: naucz się dostrzegać oznaki handlu praniem