Googlen ilmainen Authenticator-sovellus on pitkään ollut yksi parhaista tavoista tallentaa ajastettuja koodeja, joita tarvitaan monien verkkopalveluiden käyttämiin kaksivaiheisiin todennusjärjestelmiin (2FA). Se on kuitenkin aina kärsinyt yhdestä ärsyttävästä rajoituksesta: nämä koodit tallennettiin vain käyttämällesi laitteelle.
Vaikka tällaisen lähestymistavan turvallisuutta on vaikea vastustaa, se teki siitä vaivaa ihmisille, jotka halusivat käyttää kaksivaiheisia koodejaan useilla laitteilla, kuten iPhonella ja iPadilla. Se oli myös haittaa uudempaan iPhoneen päivitettäessä, koska koodeja ei yleensä palauteta varmuuskopiosta uuteen puhelimeen sen vuoksi, miten ne on tallennettu sovellukseen.
On tarpeetonta sanoa, että oli raitista ilmaa, kun Googlen tuotepäällikkö Christiaan Brand jakoi tällä viikolla uutisen, että Google Authenticator voi varmuuskopioida ja synkronoida kertaluonteisia koodeja Google-tilisi avulla. Se on”vihdoin”ansaittu, kun ajatellaan, että sovellus julkaistiin vuonna 2010 yhtenä ensimmäisistä 2FA-sovelluksista markkinoilla.
Tämä innostus jäi kuitenkin lyhytaikaiseksi, kun tietoturvatutkijat tarkastivat Googlen toimintaa ja huomasivat, että siitä puuttuu tärkeitä suojauksia niin arkaluonteisten tietojen kuin ihmisten 2FA-koodien tallentamiseen.
pitkässä twiitissä (kyllä, Twitter antavat nyt maksavien jäsenten kirjoittaa esseitä), kehittäjät ja tietoturva-analyytikot osoitteessa Mysk huomautti päästä-päähän-salauksen (E2E) puutteeseen uudessa järjestelmässä ja kehotti Google Authenticator-käyttäjiä olemaan ottamatta sitä käyttöön.
Google on juuri päivittänyt 2FA Authenticator-sovelluksensa ja lisännyt kipeästi kaivatun ominaisuuden: mahdollisuuden synkronoida salaisuuksia eri laitteiden välillä.
TL;DR: Älä käännä sitä käytössä.
Uuden päivityksen avulla käyttäjät voivat kirjautua sisään Google-tilillään ja synkronoida 2FA-salaisuuksia iOS-ja Android-laitteidensa välillä.… pic.twitter.com/a8hhelupZR – Mysk ???? (@mysk_co) 26. huhtikuuta 2023
Analysoimme verkkoliikenteen, kun sovellus synkronoi salaisuudet, ja kävi ilmi, että liikennettä ei ole päästä päähän-salattu. Kuten kuvakaappauksista näkyy, tämä tarkoittaa, että Google voi nähdä salaisuudet, todennäköisesti jopa silloin, kun ne on tallennettu palvelimilleen. Ei ole mahdollisuutta lisätä salasanaa salaisuuksien suojaamiseksi, jotta ne olisivat vain käyttäjän saatavilla.Mysk
Vaikka saatat ajatella, että 30 sekunnin välein vaihtuvien 2FA-koodien paljastamisesta ei ole haittaa , Google-tilillesi salaamattomina tallennetut Google Authenticator-tiedot sisältävät myös salaiset avaimet eli”siemenet”, joita käytetään näiden koodien luomiseen. Tämä tarkoittaa, että kuka tahansa, jolla on pääsy näihin tietoihin, voi luoda samat 2FA-koodit toisella laitteella, mikä voi vaarantaa tietoturvasi.
Tietenkin heidän on silti tiedettävä myös salasanasi, mutta 2FA:n tarkoitus on suojata tilisi siltä varalta, että salasanasi siepataan tai vuotaa tietomurron seurauksena.
2FA-salaisuudet eivät sisälly Google-tililtäsi vietyihin tietoihin, joten ne ovat turvallisia tässä suhteessa, mutta silti on olemassa riski, että ne paljastuvat jollain muulla tavalla, jos hakkeri pääsisi Google-tilillesi.
Lisäksi, kuten Myskin tiimi huomauttaa, tässä on myös tietosuojanäkökohta:”Koska Google näkee kaikki nämä tiedot, se tietää, mitä verkkopalveluita käytät, ja voi mahdollisesti käyttää näitä tietoja räätälöityihin mainoksiin.” Googlen tiedonlouhintakäytännöt tunnetaan hyvin, joten ei voida olettaa, ettei se käyttäisi näitä tietoja käyttäjiensä profilointiin.
Onneksi uusi synkronointiominaisuus on täysin valittavissa. voit silti käyttää sovellusta kuten aina, tallentamalla salaisuutesi vain laitteellesi. Turvallisuushuoliraportin jälkeen Googlen Christiaan Brand selitti, miksi yritys päätti jättää päästä päähän-salauksen pois, huomauttaen, että se tulee”hintaan siitä, että käyttäjät voivat jäädä pois omista tiedoistaan ilman palautusta”. Hän lisää, että E2E on tulossa Google Authenticatorille”linjan alapuolella”, jolloin voit oletettavasti käyttää sitä turvallisesti. On parasta välttää sitä, kunnes niin tapahtuu, tai harkita vaihtoehtoista sovellusta 2FA-koodien käsittelemiseen.
Poista Google Authenticator ja käytä iCloud-avainnippua
Koska Google luonnollisesti käyttää omaa Google Authenticator-sovellustaan, monet Gmailin käyttäjät ovat alkaneet uskoa, että tämä on sovellus, jota heidän on käytettävä päästäkseen heidän Google-tilinsä ja muut palvelut, jotka käyttävät 2FA:ta.
Mikään ei kuitenkaan voisi olla kauempana totuudesta. Toki Google Authenticator käsittelee sitä hyvin, ja se on ollut olemassa niin kauan, että siitä on tullut 2FA-tunnistetietojen tosiasiallinen standardi. Se ei kuitenkaan ole ainoa peli kaupungissa pitkällä tähtäimellä.
Itse asiassa, jos käytät iOS 15:tä ja/tai macOS Montereytä tai uudempaa, voit luopua Google Authenticatorista kokonaan ja vaihtaa iCloud-avainnippuun, joka on sisältänyt vahvan päästä päähän-salauksen alusta alkaen. iOS 7:ssä ja OS X Mavericksissa vuonna 2013.
Vaikka iCloud Keychain on pystynyt tallentamaan salasanoja turvallisesti vuosia, kyky käsitellä kaksivaiheisia todennuskoodeja tuli käyttöön vain iOS 15:ssä ja sen muissa mukana toimitetuissa iPadOS:issä ja macOS-julkaisut. Tämä kuitenkin tekee siitä nyt täydellisen Google Authenticatorin korvaajan, varsinkin kun se synkronoi jo kaikki nämä tiedot jokaisen iPhonen, iPadin ja Macin välillä, joka on kirjautunut iCloud-tiliisi ja voi täyttää nämä koodit automaattisesti puolestasi Safarissa. Apple tarjoaa siihen myös Windows-sovelluksen.
Kolmannen osapuolen salasanojen hallintaohjelmat, kuten 1Password, ovat myös tukeneet 2FA-koodien tallentamista pitkään samoilla automaattisen täytön ominaisuuksilla, joten jos iCloud Keychain ei leikkaa sitä puolestasi, voit aina kääntyä johonkin nuo.
On kuitenkin olemassa pätevä argumentti, että salasanojen ja 2FA-koodien tallentaminen samaan sovellukseen säilyttää kaikki munasi yhdessä korissa. Sovelluksen tietoturvaloukkaus antaisi hakkereille kaikki tarvittavat osat tilisi vaarantamiseen. Jos tämä koskee sinua, on olemassa useita erillisiä 2FA-sovelluksia, kuten Authy, =”https://apps.apple.com/us/app/otp-auth/id659877384″>OTP Auth ja TOTP, jotka tekevät työn valmiiksi. Jotkut tarjoavat jopa Apple Watch-sovelluksia saadaksesi 2FA-koodisi nopeasti ranteeltasi. Tämä on jotain, mitä Google Authenticator ei tee sinulle.
Muista vain, että et todellakaan paranna turvallisuutta käyttämällä erillistä 2FA-sovellusta, jos se on asennettu samaan iPhoneen kuin salasananhallinta, ellet suojaa sitä toisella salasanalla ja se tukee paikallista salausta. OTP-tietosi. Muuten kuka tahansa, joka saa käsiinsä iPhonesi ja voi avata sen lukituksen, voi kalastaa 2FA-koodisi erillisestä sovelluksesta vielä helpommin kuin he pääsevät turvallisempaan salasananhallintaohjelmaan, kuten 1Password.
