Новая облачная резервная копия Google представляет угрозу для аутентификатора 2FA

Google выпустила обновление для своего популярного приложения-аутентификатора, которое хранит «одноразовый код» в облачном хранилище, позволяя пользователям, потерявшим устройство с аутентификатором, сохранить доступ к своей двухфакторной аутентификации.

В сообщении блога от 24 апреля, объявляющем об обновлении, Google заявил, что одноразовые коды будут храниться в учетной записи пользователя Google, и заявил, что пользователи будут «лучше защищены от блокировки», и это повысит «удобство и безопасность».

В сообщении Reddit от 26 апреля на форуме r/Cryptocurrency пользователь Redditor u/pojut написал, что, хотя обновление действительно помогает тем, кто потерял устройство с установленным на нем приложением для аутентификации, оно делает их более уязвимыми для хакеров.

Защищая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто может получить доступ к паролю Google пользователя, впоследствии получит полный доступ к своим приложениям, связанным с аутентификатором.

Пользователь предположил, что потенциальным способом решения проблемы SMS 2FA является использование старого телефона, который используется исключительно для размещения вашего приложения для аутентификации.

«Я также настоятельно рекомендую, если это возможно, иметь отдельное устройство (возможно, старый телефон или старый планшет), единственная цель которого в жизни — использовать его для выбранного вами приложения для аутентификации. Не держите на нем ничего другого и не используйте его ни для чего другого.

Точно так же разработчики кибербезопасности Mysk обратились в Twitter, чтобы предупредить о дополнительных сложностях, связанных с решением Google на основе облачного хранилища для 2FA.

https://twitter.com/_sc0rn/status/1633224338970222596?ref_src=twsrc%5Etfw

По теме: OFAC вводит санкции против внебиржевых трейдеров, которые конвертировали криптовалюту для северокорейской группы Lazarus

На Reddit пользователи обсуждали иск и даже предлагали запретить SMS 2FA. Как отметил один пользователь Reddit, в настоящее время это единственный вариант аутентификации, доступный для ряда финтех-сервисов и сервисов, связанных с криптовалютой:

«К сожалению, многие сервисы, которыми я пользуюсь, еще не предлагают Authenticator 2FA. Но я определенно считаю, что SMS-подход оказался небезопасным и должен быть запрещен».

Фирма по безопасности блокчейна CertiK предупредила об опасностях использования SMS 2FA, а ее эксперт по безопасности Джесси Леклер сказал Cointelegraph, что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время».