Google раскрывает секреты 2FA — исследователи советуют пока не использовать новую функцию «синхронизация учетной записи» — Naked Security

в Гугл аутентификатор В последнее время 2FA прочно закрепилась в новостях о кибербезопасности, поскольку Google добавил функцию, позволяющую создавать резервные копии данных 2FA в облаке, а затем восстанавливать их на других устройствах.

Чтобы объяснить, 2FA (Двухфакторная аутентификация) Приложение — это одна из тех программ, которые вы запускаете на своем мобильном телефоне или планшете для создания одноразовых кодов входа, которые помогают защитить ваши онлайн-аккаунты не только паролем.

Проблема с традиционными паролями заключается в том, что мошенники могут выпросить, украсть или одолжить их разными способами.

там плечо серфинг, где мошенник заглядывает вам через плечо, когда вы печатаете; там Вдохновляющие догадки, где вы использовали утверждение, которое мошенник мог предсказать, исходя из ваших личных интересов; там фишинг, когда вас заманивают передать пароль мошеннику; И там кейлоггинггде вредоносное ПО, уже внедренное на ваш компьютер, отслеживает то, что вы вводите, и тайно начинает запись всякий раз, когда вы посещаете интересный веб-сайт.

А поскольку традиционные пароли остаются неизменными от входа в систему, мошенники, которые узнают пароль сегодня, часто могут использовать его снова и снова на досуге, часто в течение недель, возможно, месяцев, а иногда и лет.

Таким образом, приложения 2FA с одноразовыми кодами входа дополняют ваш обычный пароль дополнительным секретом, обычно шестизначным числом, которое меняется каждый раз.

Ваш телефон как второй фактор

Шестизначные коды, обычно генерируемые приложениями 2FA, рассчитываются непосредственно на вашем телефоне, а не на ноутбуке; Они основаны на «ключе» или «ключе запуска», который хранится на вашем телефоне; И он защищен кодом блокировки на вашем телефоне, а не паролями, которые вы обычно вводите на своем ноутбуке.

Таким образом, мошенники, которые выпрашивают, одалживают или крадут ваш обычный пароль, не могут получить прямой доступ к вашей учетной записи.

Этим злоумышленникам также нужен доступ к вашему телефону, и они должны иметь возможность разблокировать ваш телефон, чтобы запустить приложение и получить одноразовый код. (Коды обычно основаны на данных и времени с точностью до полминуты, поэтому они меняются каждые 30 секунд.)

Более того, новые телефоны включают защищенные от несанкционированного доступа чипы для хранения данных (Apple называет их Безопасный район; Файлы Google известны как Титан), который хранит свои секреты, даже если вы можете отсоединить чип и попытаться извлечь данные из него в автономном режиме с помощью миниатюрных электрических зондов или химического травления в сочетании с электронным микроскопом.

Конечно, это «решение» влечет за собой собственную проблему, а именно: как сделать резервную копию вашего крайне важного начального числа 2FA на случай, если вы потеряете свой телефон или купите новый и захотите переключиться на него?

Опасный способ резервного копирования семени

Большинство онлайн-сервисов требуют, чтобы вы установили последовательность токенов 2FA для новой учетной записи, введя строку из 20 байтов случайных данных, то есть вы кропотливо вводите 40 шестнадцатеричных (основание 16) символов, по одному на каждый полубайт, или тщательно вводите 32 символа в кодировке base-32, в которой используются символы A к Z И шесть цифр 234567 (Ноль и единица не используются, потому что они звучат как O-для-Оскара и I-для-Индии).

За исключением того, что у вас обычно есть шанс избежать хлопот, связанных с ручным нажатием на ваш начальный секрет, вместо этого сканируя специальный тип URL-адреса с помощью QR-кода.

Эти частные URL-адреса 2FA содержат имя учетной записи и начальный шифр, например этот (здесь мы ограничили начальный размер 10 байтами или 16 базовыми 32 символами, чтобы URL был коротким):

Вы, наверное, догадываетесь, куда это идет.

Когда вы используете камеру своего мобильного телефона для сканирования кодов 2FA такого типа, возникает соблазн сначала сфотографировать коды, чтобы использовать их в качестве резервной копии…

… но мы настоятельно рекомендуем вам этого не делать, потому что любой, кто получит эти изображения позже (например, из вашей облачной учетной записи или из-за того, что вы переслали их по ошибке), узнает ваш секретный код и сможет сгенерировать правильную последовательность из шести -цифровые коды.

Как же тогда надежно создать резервную копию данных 2FA? без сохранения текстовых копий Кто эти надоедливые многобайтовые секреты?

Google Authenticator в коробке

Что ж, если уже поздно, Google Authenticator недавно решил начать предлагать услугу «синхронизации учетной записи» 2FA, чтобы вы могли копировать последовательности токенов 2FA в облако и восстанавливать их позже на новом устройстве, например, если вы потеряли или обменяли свой телефон.

как единое СМИ описал Он она, «Google Authenticator добавляет важную и долгожданную функцию спустя 13 лет».

Но насколько безопасна эта учетная запись для синхронизации передачи данных?

Зашифрованы ли ваши конфиденциальные исходные данные при передаче в облако Google?

Как вы можете себе представить, облачная часть передачи ваших секретов 2FA уже зашифрована, потому что Google, как и любая другая компания, заботящаяся о безопасности, уже несколько лет использует HTTPS и только HTTPS для всего веб-трафика. . . .

Но могут ли ваши учетные записи с двухфакторной аутентификацией быть зашифрованы вашей уникальной уникальной парольной фразой? прежде чем они покинут ваше устройство?

Таким образом, они не могут быть перехвачены (законно или нет), вызваны в суд, просочились или украдены, пока они находятся в облачном хранилище.

В конце концов, еще один способ сказать «в облаке» — это просто «сохранить его на чужом компьютере».

Угадай, что?

У нас есть друзья, фрилансеры и программисты в сфере кибербезопасности в @сотруднико котором мы уже много раз писали на Naked Security, решили выяснить.

Что Отчет Звучит не очень обнадеживающе.

Google только что обновил свое приложение 2FA Authenticator и добавил столь необходимую функцию: возможность синхронизации секретов между устройствами.

тл; ДР: Не включай.

Новое обновление позволяет пользователям входить в систему со своими учетными записями Google и синхронизировать секреты двухфакторной аутентификации на своих устройствах iOS и Android … … pic.twitter.com/a8hhelupZR

— Миск 🇨🇦🇩🇪 (@mysk_co) 26 апреля 2023 г.

Как вы можете видеть выше, @mysk_co заявил следующее:

• Данные вашей учетной записи 2FA, включая семена, не были зашифрованы в их сетевых пакетах HTTPS. Другими словами, как только вы удаляете шифрование на транспортном уровне после того, как ваша загрузка прибыла, ваше начальное число становится доступным для Google и, как следствие, любого, у кого есть команда, чтобы раскопать ваши данные.
• Парольная фраза не позволяет зашифровать загрузку до того, как она покинет ваше устройство. Как отмечает команда @mysc_co, эта функция доступна при синхронизации информации из Google Chrome, поэтому кажется странным, что процесс синхронизации 2FA не предлагает аналогичный пользовательский интерфейс.

Вот сгенерированный URL для создания новой учетной записи 2FA в приложении Google Authenticator:

  otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon

Вот снимок сетевого трафика, который Google Authenticator синхронизировал с облаком, с удаленным шифрованием Transport Security (TLS):

Обратите внимание, что отдельные шестнадцатеричные символы соответствуют 10 байтам метаданных, которые соответствуют «секрету» с основанием 32 в приведенном выше URL-адресе:

  $ luax
  Lua 5.4.5  Copyright (C) 1994-2023 Lua.org, PUC-Rio
                            __
                        ___( o)>
                        \ <_. )
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  Added Duck's favourite modules in package.preload{}
  
  > b32seed = '6QYW4P6KWAFGCUWM'
  > rawseed = base.unb32(b32seed)
  > rawseed:len()
  10
  > base.b16(rawseed)
  F4316E3FCAB00A6152CC

то, что должно быть сделано?

Мы согласны с предложением @mysk_co, а именно: В настоящее время мы рекомендуем использовать приложение без новой функции синхронизации.

Мы уверены, что Google скоро добавит функцию парольной фразы к функции синхронизации 2FA, учитывая эту функцию. уже существует В браузере Chrome, как описано на страницах справки Chrome:

Сохраняйте конфиденциальность вашей информации

С помощью парольной фразы вы можете использовать облако Google для хранения и синхронизации данных Chrome, не позволяя Google прочитать их. […] Парольные фразы необязательны. Ваши синхронизированные данные всегда защищены шифрованием при передаче.

Если вы уже синхронизировали свои семена, Не паникуйте (они не были переданы в Google таким образом, чтобы кто-то другой мог легко их отслеживать), но вам нужно будет сбросить последовательность 2FA для всех учетных записей, которые, как вы теперь решите, вы, вероятно, должны были сохранить. самому себе.

В конце концов, у вас может быть настроена 2FA для онлайн-сервисов, таких как банковские счета, где условия требуют, чтобы вы хранили все свои учетные данные для входа в систему, включая пароли и семена, и никогда не делились ими ни с кем, даже с Google.

Если вы все равно привыкли фотографировать начальные QR-коды 2FA, Не думая слишком много об этом, мы рекомендуем вам не делать этого.

Как мы любим говорить о Naked Security: Если сомневаетесь / не пробуйте.

Данные, которые вы храните для себя, не могут быть раскрыты, украдены, перекачаны или переданы третьим лицам любого рода, будь то преднамеренно или случайно.

обновить. У Google есть Он ответил в твиттере к отчету @mysk_co, признав, что он намеренно запустил функцию синхронизации учетной записи 2FA без так называемого сквозного шифрования (E2EE), но заявил, что компания Планируется предлагать E2EE для Google Authenticator на постоянной основе. Компания также заявила, чтоВозможность использовать приложение в автономном режиме по-прежнему будет альтернативой для тех, кто предпочитает управлять своей собственной стратегией резервного копирования». [2023-04-26T18:37Z]