Ризик нової хмарної резервної копії Google для 2FA-автентифікації

Google випустив оновлення для своєї популярної програми автентифікації, яка зберігає «одноразовий код» у хмарному сховищі, що дозволяє користувачам, які втратили пристрій із автентифікатором, зберегти доступ до свого 2FA.

У повідомленні в блозі від 24 квітня, в якому було оголошено про оновлення, Google повідомила, що одноразові коди зберігатимуться в обліковому записі Google користувача, і стверджувала, що користувачі будуть «краще захищені від блокування», а це підвищить «зручність і безпеку».

У дописі на Reddit від 26 квітня на форумі r/Cryptocurrency Redditor u/pojut написав, що оновлення допомагає тим, хто втрачає пристрій із додатком автентифікації, але робить їх більш уразливими для хакерів.

Зберігаючи його в хмарному сховищі, пов’язаному з обліковим записом Google користувача, це означає, що кожен, хто може отримати доступ до пароля користувача Google, згодом отримає повний доступ до своїх програм, пов’язаних із автентифікатором.

Користувач припустив, що потенційним способом вирішення проблеми SMS 2FA є використання старого телефону, який використовується виключно для розміщення вашої програми автентифікації.

«Я також настійно пропоную вам, якщо можливо, мати окремий пристрій (можливо, старий телефон або старий планшет), єдиною метою життя якого є використання для обраної вами програми автентифікації. Не тримайте на ньому більше нічого й не використовуйте його ні для чого».

Подібним чином розробники кібербезпеки Mysk звернулися до Twitter, щоб попередити про додаткові ускладнення, пов’язані з рішенням Google на основі хмарного сховища для 2FA.

https://twitter.com/_sc0rn/status/1633224338970222596?ref_src=twsrc%5Etfw

За темою: OFAC накладає санкції на позабіржових трейдерів, які конвертували криптовалюту для північнокорейської групи Lazarus

На Reddit користувачі обговорювали позов і навіть пропонували заборонити SMS 2FA. Як зазначив один користувач Reddit, наразі це єдиний доступний варіант автентифікації для ряду фінтех-сервісів і сервісів, пов’язаних із криптовалютою:

«На жаль, багато служб, якими я користуюся, ще не пропонують Authenticator 2FA. Але я точно вважаю, що підхід до SMS-повідомлень виявився небезпечним і його слід заборонити».

Фірма безпеки блокчейнів CertiK попередила про небезпеку використання SMS 2FA, а її експерт з безпеки Джессі Леклер сказав Cointelegraph, що «SMS 2FA краще, ніж нічого, але це найбільш вразлива форма 2FA, яка зараз використовується».