Google выпустила обновление для своего популярного приложения Authenticator, в котором хранится «одноразовый код» в облачном хранилище, что позволяет пользователям, которые потеряли устройство с помощью своего аутентификатора, сохранить доступ к своим 2FA.
В сообщении в блоге от 24 апреля, объявляющего об обновлении, Google сказал, что одноразовые коды будут храниться в учетной записи Google пользователя, а заявившие пользователи будут «лучше защищены от блокировки», и это увеличит «удобство и безопасность».
В сообщении Reddit от 26 апреля на форуме R/Cryptocurrents Redditor U/Pojut написал, что, хотя обновление помогает тем, кто теряет устройство с помощью своего приложения Authenticator, это делает их более уязвимыми для хакеров.
Обеспечивая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто может получить доступ к пользователям Google Password, затем впоследствии получит полный доступ к своим приложениям, связанным с аутентикаторами.
Пользователь предположил, что потенциальным способом решения проблемы SMS 2FA является использование старого телефона, который используется исключительно для размещения вашего приложения Authenticator.
`ID также настоятельно предполагает, что, если возможно, у вас должно быть отдельное устройство (возможно, старый телефон или старый планшет), единственная цель в жизни должна использоваться для вашего приложения для аутентификации по выбору. Ничего не держи на нем и используйте его для ничего другого ».
Точно так же разработчики кибербезопасности MySk отправились в Twitter, чтобы предупредить о дополнительных осложнениях, которые связаны с решением Google's Cloud Storage для 2FA.
Google только что обновил свое приложение Authenticator 2FA и добавил столь необходимую функцию: возможность синхронизировать секреты на разных устройствах.
- mysk (@mysk_co) 26 апреля 2023 г.
TL; DR: Не включаю.
Новое обновление позволяет пользователям входить в свою учетную запись Google и Sync 2FA -секреты на своих устройствах iOS и Android.… Pic.twitter.com/a8hhelupzr
Это может оказаться значительной проблемой для пользователей, которые используют Google Authenticator для 2FA, чтобы войти в свои учетные записи Crypto Exchange и другие услуги, связанные с финансами.
Наиболее распространенным взломом 2FA является тип мошенничества с идентификацией, известный как «обмен SIM -карта», где мошенники получают контроль над номером телефона, обманывая поставщика телекоммуникаций, чтобы связать номер со своей собственной SIM -картой.
Недавний пример этого можно увидеть в судебном процессе, поданном против обмена криптовалют в Соединенных Штатах Coinbase, где клиент утверждал, что потерял «90% своих сбережений жизни» после того, как он стал жертвой такой атаки.
Примечательно, что сама Coinbase поощряет использование приложений Authenticator для 2FA, в отличие от SMS, и описывает SMS 2FA как «наименьшую безопасную» форму аутентификации.
Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был нарушен. Кроме того, Coinbase поощряет приложение Authenticator для 2FA, маркируя его «безопасное» и SMS как «умеренно безопасно».
- Дэйв Фергюсон (@_SC0RN) 7 марта 2023 г.
На Reddit пользователи обсудили иск и даже предложили запретить SMS 2FA. Как отметил один пользователь Reddit в настоящее время является единственной опцией аутентификации, доступной для ряда Fintech и связанных с криптовалютой услуг:
«К сожалению, многие услуги, которые я использую, пока не предлагают аутентификатора 2FA. Но я определенно думаю, что SMS -подход оказался небезопасным и должен быть запрещен».
Компания Blockchain Security Firm Certik предупредила об опасности использования SMS 2FA, а его эксперт по безопасности Джесси Леклере рассказывал Cointelegraph, что «SMS 2FA лучше, чем ничего, но это самая уязвимая форма из 2FA в настоящее время используется».
Журнал: 4 из 10 продаж NFT - фальшивые: научитесь выявлять признаки торговли Wash
Источник
