Google gibt 2FA-Geheimnisse preis – Forscher raten vorerst davon ab, die neue Funktion „Kontosynchronisierung“ zu verwenden – Naked Security

Die Google-Authentifikator 2FA wurde kürzlich fest in Cybersicherheitsnachrichten aufgenommen, da Google eine Funktion hinzugefügt hat, mit der Sie Ihre 2FA-Daten in der Cloud sichern und dann auf anderen Geräten wiederherstellen können.

Zur Erklärung: 2FA (Zwei-Faktor-Authentifizierung) Eine App ist eines dieser Programme, die Sie auf Ihrem Mobiltelefon oder Tablet ausführen, um einmalige Anmeldecodes zu generieren, mit denen Sie Ihre Online-Konten mit mehr als nur einem Passwort schützen können.

Das Problem mit herkömmlichen Passwörtern besteht darin, dass es viele Möglichkeiten gibt, wie Betrüger sie erbetteln, stehlen oder ausleihen können.

Dort Schulter-Surfen, wo Ihnen ein Stricher in Ihrer Mitte beim Tippen über die Schulter schaut; Dort Inspirierende Vermutungen, wo Sie eine Aussage verwendet haben, die der Betrüger basierend auf Ihren persönlichen Interessen vorhersagen konnte; Dort Phishing, wo Sie dazu verleitet werden, Ihr Passwort an einen Betrüger weiterzugeben; Und da Keyloggingbei der Malware, die bereits auf Ihrem Computer implantiert ist, Ihre Eingaben verfolgt und heimlich mit der Aufzeichnung beginnt, wenn Sie eine Website besuchen, die interessant aussieht.

Und da traditionelle Passwörter von Anmeldung zu Anmeldung gleich bleiben, können Betrüger, die heute das Passwort herausfinden, es oft nach Belieben immer und immer wieder verwenden, oft über Wochen, möglicherweise Monate und manchmal Jahre.

2FA-Apps mit einmaligen Anmeldecodes ergänzen Ihr reguläres Passwort also um ein zusätzliches Geheimnis, normalerweise eine sechsstellige Zahl, die sich jedes Mal ändert.

Ihr Telefon als zweiter Faktor

Die normalerweise von 2FA-Apps generierten sechsstelligen Codes werden direkt auf Ihrem Telefon berechnet, nicht auf Ihrem Laptop. Sie basieren auf einem „Schlüssel“ oder „Startschlüssel“, der auf Ihrem Telefon gespeichert ist; Und es ist durch den Sperrcode auf Ihrem Telefon geschützt, nicht durch Passwörter, die Sie routinemäßig auf Ihrem Laptop eingeben.

Auf diese Weise können Betrüger, die Ihr reguläres Passwort erbetteln, ausleihen oder stehlen, nicht direkt auf Ihr Konto zugreifen.

Diese Angreifer benötigen auch Zugriff auf Ihr Telefon und müssen in der Lage sein, Ihr Telefon zu entsperren, um die App auszuführen und den einmaligen Code zu erhalten. (Die Codes basieren normalerweise auf Datum und Uhrzeit auf die nächste halbe Minute genau, sodass sie sich alle 30 Sekunden ändern.)

Noch besser, neuere Telefone enthalten manipulationssichere sichere Speicherchips (Apple nennt sie Sicherer Bereich; Google Files ist bekannt als Titan), das seine Geheimnisse bewahrt, selbst wenn Sie den Chip abnehmen und versuchen können, Daten offline über elektrische Miniatursonden oder durch chemisches Ätzen in Verbindung mit einem Elektronenmikroskop zu extrahieren.

Natürlich bringt diese „Lösung“ ihr eigenes Problem mit sich, nämlich: Wie sichern Sie Ihren so wichtigen 2FA-Seed, falls Sie Ihr Telefon verlieren oder ein neues kaufen und darauf umsteigen möchten?

Der gefährliche Weg, den Samen zu sichern

Die meisten Online-Dienste verlangen, dass Sie eine 2FA-Token-Sequenz für ein neues Konto einrichten, indem Sie eine Zeichenfolge von 20 Byte zufälliger Daten eingeben, was bedeutet, dass Sie mühsam 40 hexadezimale (Basis 16) Zeichen eingeben, eines für jedes Halbbyte, oder indem Sie sorgfältig eingeben 32 Zeichen in einer Codierung base-32 , die Zeichen verwendet A Zu Z Und die sechs Zahlen 234567 (Null und Eins werden nicht verwendet, weil sie wie O-für-Oscar und I-für-Indien klingen).

Abgesehen davon, dass Sie normalerweise die Möglichkeit haben, den Aufwand zu vermeiden, manuell auf Ihr Startgeheimnis zu klicken, indem Sie stattdessen eine spezielle Art von URL über einen QR-Code scannen.

Diese privaten 2FA-URLs enthalten den Kontonamen und die Seed-Chiffre wie folgt (wir haben den Seed hier auf 10 Bytes oder 16 Basis-32-Zeichen beschränkt, um die URL kurz zu halten):

Sie können wahrscheinlich erraten, wohin das führt.

Wenn Sie die Kamera Ihres Mobiltelefons bedienen, um 2FA-Codes dieser Art zu scannen, ist es verlockend, zuerst ein Foto der Codes zu machen, um es als Backup zu verwenden …

…aber wir bitten Sie dringend, dies nicht zu tun, denn jeder, der diese Bilder später erhält (z. B. von Ihrem Cloud-Konto oder weil Sie sie versehentlich weitergeleitet haben), kennt Ihren geheimen Seed und kann die richtige Sechserfolge generieren -stellige Codes.

Wie Sie also Ihre 2FA-Daten zuverlässig sichern ohne Klartextkopien aufzubewahren Wer sind diese lästigen Multi-Byte-Geheimnisse?

Google Authenticator in der Box

Nun, wenn es spät ist, hat Google Authenticator kürzlich beschlossen, einen 2FA-Dienst zur „Kontosynchronisierung“ anzubieten, damit Sie 2FA-Token-Sequenzen in die Cloud kopieren und später auf einem neuen Gerät wiederherstellen können, beispielsweise wenn Sie Ihr Telefon verlieren oder eintauschen.

als einziger Medienkanal beschrieben er sie, „Google Authenticator fügt nach 13 Jahren eine wichtige und lang erwartete Funktion hinzu.“

Aber wie sicher ist dieses Konto, um die Datenübertragung zu synchronisieren?

Werden Ihre vertraulichen Seed-Daten bei der Übertragung an die Google-Cloud verschlüsselt?

Wie Sie sich vorstellen können, ist der Cloud-Upload-Teil der Übertragung Ihrer 2FA-Geheimnisse bereits verschlüsselt, da Google, wie jedes sicherheitsbewusste Unternehmen da draußen, seit mehreren Jahren HTTPS-und-nur-HTTPS für den gesamten webbasierten Datenverkehr verwendet . . .

Aber können Ihre Zwei-Faktor-Authentifizierungskonten mit Ihrer eindeutig eindeutigen Passphrase verschlüsselt werden? bevor sie Ihr Gerät verlassen?

Auf diese Weise können sie nicht abgefangen (ob legal oder nicht), vorgeladen, durchgesickert oder gestohlen werden, während sie sich im Cloud-Speicher befinden.

Schließlich ist eine andere Art, „in der Cloud“ zu sagen, einfach „auf dem Computer eines anderen zu speichern“.

erraten Sie, was?

Wir haben unsere Freunde, die Freiberufler und Programmierer im Bereich Cyber ​​Security sind @Mitarbeiterworüber wir schon oft auf Naked Security geschrieben haben, entschied sich, es herauszufinden.

Was Bericht Es klingt nicht sehr ermutigend.

Google hat gerade seine 2FA Authenticator-App aktualisiert und eine dringend benötigte Funktion hinzugefügt: die Möglichkeit, Geheimnisse geräteübergreifend zu synchronisieren.

TL; DR: Nicht einschalten.

Das neue Update ermöglicht es Benutzern, sich mit ihren Google-Konten anzumelden und Zwei-Faktor-Authentifizierungsgeheimnisse auf ihren iOS- und Android-Geräten zu synchronisieren … … pic.twitter.com/a8hhelupZR

– Misk 🇨🇦🇩🇪 (@mysk_co) 26. April 2023

Wie Sie oben sehen können, hat @mysk_co Folgendes behauptet:

• Ihre 2FA-Kontodaten, einschließlich der Seeds, waren in ihren HTTPS-Netzwerkpaketen unverschlüsselt. Mit anderen Worten, sobald Sie die Verschlüsselung auf Transportebene entfernen, nachdem Ihr Upload angekommen ist, ist Ihr Seed für Google verfügbar und implizit für jeden, der einen Befehl zum Ausgraben Ihrer Daten hat.
• Es gibt keine Passphrase-Option, um den Download zu verschlüsseln, bevor er Ihr Gerät verlässt. Wie das @mysc_co-Team betont, ist diese Funktion beim Synchronisieren von Informationen aus Google Chrome verfügbar, daher scheint es seltsam, dass der 2FA-Synchronisierungsprozess keine ähnliche Benutzererfahrung bietet.

Hier ist die generierte URL zum Erstellen eines neuen 2FA-Kontos in der Google Authenticator-App:

  otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon

Hier ist eine Momentaufnahme des Netzwerkverkehrs, den Google Authenticator mit der Cloud synchronisiert hat, wobei die Transport Security (TLS)-Verschlüsselung entfernt wurde:

Beachten Sie, dass die unterschiedlichen hexadezimalen Zeichen 10 Byte Metadaten entsprechen, die dem Base-32-„Geheimnis“ in der obigen URL entsprechen:

  $ luax
  Lua 5.4.5  Copyright (C) 1994-2023 Lua.org, PUC-Rio
                            __
                        ___( o)>
                        \ <_. )
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  Added Duck's favourite modules in package.preload{}
  
  > b32seed = '6QYW4P6KWAFGCUWM'
  > rawseed = base.unb32(b32seed)
  > rawseed:len()
  10
  > base.b16(rawseed)
  F4316E3FCAB00A6152CC

Was soll getan werden?

Wir stimmen dem Vorschlag von @mysk_co zu, nämlich: Wir empfehlen, die App derzeit ohne die neue Synchronisierungsfunktion zu verwenden.

Wir sind sicher, dass Google angesichts dieser Funktion bald eine Passphrase-Funktion zur 2FA-Synchronisierungsfunktion hinzufügen wird ist bereits vorhanden Im Chrome-Browser, wie auf den Chrome-Hilfeseiten erklärt:

Halten Sie Ihre Informationen privat

Mit einer Passphrase können Sie die Google-Cloud verwenden, um Ihre Chrome-Daten zu speichern und zu synchronisieren, ohne dass Google sie lesen kann. […] Passphrasen sind optional. Ihre synchronisierten Daten sind während der Übertragung immer durch Verschlüsselung geschützt.

Wenn Sie Ihre Samen bereits synchronisieren, Keine Panik (sie wurden nicht auf eine Weise mit Google geteilt, die es anderen leicht machen würde, sie auszuspionieren), aber Sie müssen die 2FA-Sequenz für alle Konten zurücksetzen, von denen Sie jetzt entscheiden, dass Sie sie wahrscheinlich hätten behalten sollen zu dir selbst.

Schließlich haben Sie möglicherweise 2FA für Online-Dienste wie Bankkonten eingerichtet, bei denen die Allgemeinen Geschäftsbedingungen verlangen, dass Sie alle Ihre Anmeldeinformationen, einschließlich Passwörter und Seeds, für sich behalten und sie niemals an Dritte weitergeben, nicht einmal an Google.

Wenn Sie es sich sowieso angewöhnt haben, Bilder von 2FA-Seed-QR-Codes zu machen, Ohne zu viel darüber nachzudenken, empfehlen wir Ihnen, dies nicht zu tun.

Wie wir auf Naked Security gerne sagen: Im Zweifelsfall / nicht versuchen.

Daten, die Sie für sich behalten, dürfen nicht durchgesickert, gestohlen, ausgespäht oder an Dritte weitergegeben werden, weder absichtlich noch versehentlich.

aktualisieren. Google hat Er antwortete auf Twitter auf den Bericht von @mysk_co, indem es bestätigte, dass es absichtlich eine 2FA-Kontosynchronisierungsfunktion ohne sogenannte End-to-End-Verschlüsselung (E2EE) gestartet hat, aber behauptete, das Unternehmen habe dies getan Es ist geplant, E2EE für Google Authenticator kontinuierlich anzubieten. Das teilte das Unternehmen auch mitDie Möglichkeit, die App offline zu nutzen, bleibt eine Alternative für diejenigen, die es vorziehen, ihre eigene Backup-Strategie zu verwalten.“ [2023-04-26T18:37Z]