Apl Pengesah percuma Google telah lama menjadi salah satu cara terbaik untuk menyimpan kod bermasa yang diperlukan untuk sistem pengesahan dua faktor (2FA) yang digunakan oleh banyak perkhidmatan dalam talian. Walau bagaimanapun, ia sentiasa mengalami satu had yang menjengkelkan: kod ini disimpan hanya pada sebarang peranti yang anda gunakan.
Walaupun sukar untuk membantah keselamatan pendekatan sedemikian, ia menyusahkan orang yang ingin mengakses kod dua faktor mereka daripada berbilang peranti, seperti iPhone dan iPad. Ia juga menjadi kacau ganggu apabila menaik taraf kepada iPhone yang lebih baharu kerana kod tersebut lazimnya tidak akan dipulihkan daripada sandaran ke telefon baharu kerana cara ia disimpan dalam apl.
Tidak perlu dikatakan, ia adalah nafas segar apabila pengurus produk Google Christiaan Brand berkongsi berita minggu ini bahawa Google Authenticator boleh menyandarkan dan menyegerakkan kod sekali menggunakan Akaun Google anda. Itu mendapat”akhirnya”yang layak apabila anda menganggap apl itu dikeluarkan pada tahun 2010 sebagai salah satu apl 2FA yang pertama di pasaran.
Walau bagaimanapun, keterujaan itu tidak lama selepas penyelidik keselamatan melihat dengan lebih dekat apa yang Google lakukan dan mendapati ia tidak mempunyai perlindungan penting untuk menyimpan data sesensitif kod 2FA orang.
Dalam tweet yang panjang lebar (ya, Twitter kini membolehkan ahli membayar menulis esei), pembangun dan penganalisis keselamatan di Mysk menyatakan kekurangan penyulitan hujung ke hujung (E2E) dalam sistem baharu dan menasihatkan pengguna Pengesah Google untuk tidak mendayakannya.
Google baru sahaja mengemas kini apl Pengesah 2FA dan menambah ciri yang sangat diperlukan: keupayaan untuk menyegerakkan rahsia merentas peranti.
TL;DR: Jangan pusingkannya dihidupkan.
Kemas kini baharu membenarkan pengguna melog masuk dengan Akaun Google mereka dan menyegerakkan rahsia 2FA merentas peranti iOS dan Android mereka.… gambar.twitter.com/a8hheupZR— Mysk ???? (@mysk_co) 26 April 2023
Kami menganalisis trafik rangkaian apabila apl menyegerakkan rahsia, dan ternyata trafik itu tidak disulitkan hujung ke hujung. Seperti yang ditunjukkan dalam tangkapan skrin, ini bermakna Google boleh melihat rahsia, mungkin walaupun semasa ia disimpan pada pelayan mereka. Tiada pilihan untuk menambah frasa laluan untuk melindungi rahsia, untuk menjadikannya boleh diakses oleh pengguna sahaja.Mysk
Walaupun anda mungkin fikir tiada salahnya mendedahkan kod 2FA yang berubah setiap 30 saat , maklumat Pengesah Google yang disimpan tidak disulitkan dalam Akaun Google anda juga mengandungi kunci rahsia, atau”benih”, yang digunakan untuk menjana kod ini. Ini bermakna sesiapa sahaja yang mempunyai akses kepada maklumat ini boleh menjana kod 2FA yang sama pada peranti lain, sekali gus membawa kepada potensi kompromi keselamatan anda.
Sudah tentu, mereka masih perlu mengetahui kata laluan anda juga, tetapi tujuan utama 2FA adalah untuk melindungi akaun anda sekiranya kata laluan anda dipintas atau bocor melalui pelanggaran data.
Sebaliknya, rahsia 2FA tidak disertakan dalam data yang dieksport daripada Akaun Google anda, jadi ia selamat dalam hal itu, tetapi masih terdapat risiko bahawa ia boleh didedahkan dengan cara lain jika penggodam adalah untuk mendapatkan akses kepada Akaun Google anda.
Selanjutnya, seperti yang dinyatakan oleh pasukan Mysk, terdapat juga aspek privasi untuk ini: “Memandangkan Google boleh melihat semua data ini, ia mengetahui perkhidmatan dalam talian yang anda gunakan dan berpotensi menggunakan maklumat ini untuk iklan diperibadikan.” Amalan perlombongan data Google terkenal, jadi seseorang tidak boleh menganggap ia tidak akan menggunakan data ini untuk memprofilkan penggunanya.
Nasib baik, ciri penyegerakan baharu adalah ikut serta sepenuhnya; anda masih boleh menggunakan apl seperti biasa, menyimpan rahsia anda hanya pada peranti anda. Berikutan laporan kebimbangan keselamatan, Jenama Christiaan Google menerangkan sebab syarikat memilih untuk meninggalkan penyulitan hujung ke hujung, dengan menyatakan bahawa ia datang”dengan kos membolehkan pengguna terkunci daripada data mereka sendiri tanpa pemulihan.”Dia menambah bahawa E2E akan datang untuk Google Authenticator”sehingga,”pada ketika itu anda mungkin akan dapat menggunakannya dengan selamat. Adalah lebih baik untuk mengelakkannya sehingga perkara itu berlaku atau pertimbangkan aplikasi alternatif untuk mengendalikan kod 2FA anda.
Buang Google Authenticator dan Gunakan Rantai Kunci iCloud
Memandangkan Google secara semula jadi menolak apl Google Authenticatornya sendiri, ramai pengguna Gmail telah percaya bahawa ini adalah apl yang mereka perlu gunakan untuk mengakses Akaun Google mereka dan perkhidmatan lain yang menggunakan 2FA.
Walau bagaimanapun, tiada apa yang boleh jauh dari kebenaran. Pasti, Google Authenticator mengendalikannya dengan baik, dan ia telah wujud sekian lama ia menjadi standard de facto untuk kelayakan 2FA. Walau bagaimanapun, ia bukan satu-satunya permainan di bandar dengan pukulan panjang.
Malah, jika anda menggunakan iOS 15 dan/atau macOS Monterey atau yang lebih baru, anda boleh meninggalkan Google Authenticator sepenuhnya dan beralih kepada Rantai Kunci iCloud, yang telah menyertakan penyulitan hujung ke hujung yang mantap sejak penubuhannya dalam iOS 7 dan OS X Mavericks pada 2013.
Walaupun Rantai Kunci iCloud telah dapat menyimpan kata laluan dengan selamat selama bertahun-tahun, keupayaan untuk mengendalikan kod pengesahan dua faktor hanya terdapat dalam iOS 15 dan iPadOS yang lain yang disertakan. dan keluaran macOS. Walau bagaimanapun, itu kini menjadikannya pengganti lengkap untuk Google Authenticator, terutamanya kerana ia sudah menyegerakkan semua maklumat ini merentas setiap iPhone, iPad dan Mac yang dilog masuk ke akaun iCloud anda dan boleh mengisi auto kod ini untuk anda dalam Safari. Apple juga menawarkan aplikasi Windows untuknya.
Pengurus kata laluan pihak ketiga seperti 1Password juga telah menyokong penyimpanan kod 2FA untuk masa yang lama, dengan ciri autolengkap yang sama, jadi jika Rantai Kunci iCloud tidak memotongnya untuk anda, anda sentiasa boleh beralih kepada salah satu daripada mereka.
Walau bagaimanapun, terdapat hujah yang sah bahawa menyimpan kata laluan dan kod 2FA anda dalam apl yang sama menyimpan semua telur anda dalam satu bakul. Pelanggaran keselamatan apl itu akan memberikan penggodam semua bahagian yang mereka perlukan untuk menjejaskan akaun anda. Jika itu membimbangkan anda, maka terdapat pelbagai apl 2FA kendiri seperti Authy, Pengesahan OTP dan TOTP yang menyelesaikan kerja. Malah ada yang menawarkan apl Apple Watch untuk mendapatkan kod 2FA anda dengan cepat dari pergelangan tangan anda. Itu adalah sesuatu yang Google Authenticator tidak akan lakukan untuk anda.
Hanya perlu diingat bahawa anda tidak benar-benar meningkatkan keselamatan dengan menggunakan apl 2FA yang berasingan jika ia dipasang pada iPhone yang sama dengan pengurus kata laluan anda melainkan anda melindunginya dengan kata laluan yang berbeza dan ia menyokong penyulitan tempatan bagi data OTP anda. Jika tidak, sesiapa sahaja yang menggunakan iPhone anda dan boleh membuka kuncinya boleh menangkap kod 2FA anda daripada apl berasingan dengan lebih mudah daripada mereka boleh menggunakan pengurus kata laluan yang lebih selamat seperti 1Password.
