Риск с новым облачным резервным копированием Google для аутентификатора 2FA
Google выпустила обновление для своего популярного приложения-аутентификатора, которое хранит «одноразовый код» в облачном хранилище, позволяя пользователям, потерявшим устройство вместе со своим аутентификатором, сохранить доступ к двухфакторной аутентификации (2FA).
В блоге 24 апреля почта Объявляя об обновлении, Google заявил, что токены одноразового использования будут храниться в учетной записи Google пользователя, утверждая, что пользователи будут «лучше защищены от блокировки» и это повысит «удобство и безопасность».
26 апреля Реддит почта На форуме r/Cryptocurrency Redditor u/pojut написал, что, хотя обновление помогает тем, кто потерял устройство, применяя к нему свой аутентификатор, оно также делает их более уязвимыми для хакеров.
Защищая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто получит доступ к паролю Google пользователя, будет иметь полный доступ к своим приложениям, связанным с аутентификатором.
Пользователь предположил, что одним из возможных способов решения проблемы SMS 2FA является использование старого телефона, который используется исключительно для размещения вашего приложения аутентификации.
Я также настоятельно рекомендую, если это возможно, иметь отдельное устройство (может быть, старый телефон или старый планшет), единственная цель жизни которого — использовать его для выбранного вами приложения для аутентификации. использовать его для чего-нибудь последнего “.
Точно так же разработчики кибербезопасности пойманный взялся за Твиттер Чтобы предупредить о дополнительных сложностях, связанных с облачным решением Google для 2FA.
Это может быть серьезной проблемой для пользователей, которые используют Google Authenticator для 2FA для входа в учетные записи криптобиржи и другие службы, связанные с финансами.
Другие проблемы безопасности 2FA
Наиболее распространенный взлом 2FA — это тип мошенничества с идентификацией, известный как «подмена SIM-карты», когда мошенники получают контроль над номером телефона, обманом заставляя оператора связи связать номер со своей SIM-картой.
Недавний пример этого можно увидеть в судебном иске, поданном против американской биржи криптовалют Coinbase, где клиент заявил, что потерял «90% своих сбережений» после того, как стал жертвой такой атаки.
Примечательно, что сама Coinbase поощряет использование приложений-аутентификаторов для 2FA вместо SMS. описание SMS 2FA — это «наименее безопасная» форма аутентификации.
Связанный: Управление по контролю за иностранными активами вводит санкции против внебиржевых трейдеров, которые переводили криптовалюты в Lazarus Group в Северной Корее.
На Reddit пользователи обсуждали судебный процесс и предлагали запретить SMS 2FA, хотя один пользователь Reddit отметил, что в настоящее время это единственный вариант аутентификации, доступный для ряда финтех- и крипто-сервисов:
“К сожалению, не многие сервисы, которыми я пользуюсь, предлагают Authenticator 2FA. Но я определенно считаю, что подход с использованием SMS оказался небезопасным и должен быть запрещен”.
Фирма по безопасности блокчейна CertiK предупредила об опасностях использования SMS 2FA, а эксперт по безопасности Джесси Леклер сказал Cointelegraph, что «SMS 2FA лучше, чем ничего, но в настоящее время это наиболее широко используемая форма 2FA».
журнал: 4 из 10 поддельных продаж NFT: научитесь замечать признаки отмывания денег
«Профессиональный интернет-практик. Знаток путешествий. Гордый исследователь. Главный зомби-первопроходец».