Ο κίνδυνος με το νέο αντίγραφο ασφαλείας cloud της Google για τον επαληθευτή 2FA

Η Google κυκλοφόρησε μια ενημερωμένη έκδοση για τη δημοφιλή εφαρμογή ελέγχου ταυτότητας που αποθηκεύει έναν “κωδικό μιας χρήσης” στην αποθήκευση στο cloud, επιτρέποντας στους χρήστες που έχουν χάσει τη συσκευή με τον ελεγκτή ταυτότητας να διατηρήσουν πρόσβαση στον έλεγχο ταυτότητας δύο παραγόντων (2FA).

Σε μια ανάρτηση στο blog της 24ης Απριλίου που ανακοίνωσε την ενημέρωση, η Google δήλωσε ότι οι κωδικοί μιας χρήσης θα αποθηκεύονται στο λογαριασμό Google ενός χρήστη, υποστηρίζοντας ότι οι χρήστες θα είναι “καλύτερα προστατευμένοι από το κλείδωμα” και ότι θα αυξήσει την “ευκολία και την ασφάλεια”.

Σε μια ανάρτηση στο Reddit στις 26 Απριλίου στο φόρουμ r/Cryptocurrency, ο Redditor u/pojut έγραψε ότι ενώ η ενημέρωση βοηθά όσους χάνουν τη συσκευή με την εφαρμογή αυθεντικοποίησης σε αυτήν, τους καθιστά επίσης πιο ευάλωτους σε χάκερ.

Με την ασφάλισή της σε αποθηκευτικό χώρο στο cloud που σχετίζεται με τον λογαριασμό Google του χρήστη, σημαίνει ότι όποιος μπορεί να αποκτήσει πρόσβαση στον κωδικό πρόσβασης Google του χρήστη, θα αποκτήσει στη συνέχεια πλήρη πρόσβαση στις εφαρμογές που συνδέονται με τον authenticator.

Ο χρήστης πρότεινε ότι ένας πιθανός τρόπος για να παρακάμψετε το πρόβλημα του SMS 2FA είναι να χρησιμοποιήσετε ένα παλιό τηλέφωνο που χρησιμοποιείται αποκλειστικά για να φιλοξενήσει την εφαρμογή authenticator.

“Θα πρότεινα επίσης έντονα ότι, αν είναι δυνατόν, θα πρέπει να έχετε μια ξεχωριστή συσκευή (ίσως ένα παλιό τηλέφωνο ή ένα παλιό tablet) της οποίας ο μοναδικός σκοπός στη ζωή είναι να χρησιμοποιείται για την εφαρμογή αυθεντικοποίησης της επιλογής σας. Μην κρατάτε τίποτε άλλο σε αυτήν και μην τη χρησιμοποιείτε για τίποτε άλλο”.

Ομοίως, οι προγραμματιστές κυβερνοασφάλειας Mysk πήραν το Twitter για να προειδοποιήσουν για τις πρόσθετες επιπλοκές που συνεπάγεται η λύση της Google για την 2FA που βασίζεται στην αποθήκευση στο cloud.

θα μπορούσε να αποδειχθεί σημαντική ανησυχία για τους χρήστες που χρησιμοποιούν το Google Authenticator για 2FA για να συνδεθούν στους λογαριασμούς τους σε ανταλλακτήρια crypto και άλλες υπηρεσίες που σχετίζονται με τα χρηματοοικονομικά.

Το πιο συνηθισμένο 2FA hack είναι ένας τύπος απάτης ταυτότητας γνωστός ως “SIM swapping”, όπου οι απατεώνες αποκτούν τον έλεγχο ενός τηλεφωνικού αριθμού εξαπατώντας τον πάροχο τηλεπικοινωνιών ώστε να συνδέσει τον αριθμό με τη δική τους κάρτα SIM.

Ένα πρόσφατο παράδειγμα αυτού του είδους μπορεί να δει κανείς σε μια αγωγή που κατατέθηκε εναντίον του ανταλλακτηρίου Coinbase με έδρα τις Ηνωμένες Πολιτείες, όπου ένας πελάτης ισχυρίστηκε ότι έχασε “το 90% των αποταμιεύσεών του” αφού έπεσε θύμα μιας τέτοιας επίθεσης.

Αξίζει να σημειωθεί ότι η ίδια η Coinbase ενθαρρύνει τη χρήση εφαρμογών ελέγχου ταυτότητας για 2FA σε αντίθεση με τα SMS, περιγράφοντας τα SMS 2FA ως τη “λιγότερο ασφαλή” μορφή ελέγχου ταυτότητας.

Στο Reddit, οι χρήστες συζήτησαν τη μήνυση και πρότειναν ακόμη και την απαγόρευση του SMS 2FA, αν και ένας χρήστης του Reddit σημείωσε ότι αυτή τη στιγμή αποτελεί τη μόνη διαθέσιμη επιλογή ελέγχου ταυτότητας για ορισμένες υπηρεσίες που σχετίζονται με fintech και κρυπτονομίσματα:

“Δυστυχώς, πολλές υπηρεσίες που χρησιμοποιώ δεν προσφέρουν ακόμη Authenticator 2FA. Αλλά σίγουρα πιστεύω ότι η προσέγγιση SMS έχει αποδειχθεί μη ασφαλής και θα πρέπει να απαγορευτεί”.

Η εταιρεία ασφάλειας blockchain CertiK έχει προειδοποιήσει για τους κινδύνους της χρήσης του SMS 2FA, με τον εμπειρογνώμονα ασφαλείας της Jesse Leclere να δηλώνει στο Cointelegraph ότι “το SMS 2FA είναι καλύτερο από το τίποτα, αλλά είναι η πιο ευάλωτη μορφή 2FA που χρησιμοποιείται σήμερα”.

Για περισσότερα ενημερωμένα νέα, βρείτε μας στο Twitter και στις Ειδήσεις ή εγγραφείτε στο κανάλι μας στο YouTube .

Ποια είναι η γνώμη σας για το συγκεκριμένο θέμα; Αφήστε μας το σχόλιο σας από κάτω! Πάντα μας ενδιαφέρει η γνώμη σας!

Αρθρογράφος: Dimitrios Alexandridis

Πηγή

Leave a Reply

Your email address will not be published. Required fields are marked *

Προτεινόμενα άρθρα:

Μοιράσου τη Δημοσίευση: