• أداة مصادقة Google ظهر تطبيق 2FA بقوة في القصص الإخبارية للأمن السيبراني مؤخرًا ، حيث أضافت Google ميزة تتيح لك الاحتفاظ بنسخة احتياطية من بيانات 2FA في السحابة ثم استعادتها على أجهزة أخرى.
لشرح ، 2FA (المصادقة الثنائية) التطبيق هو أحد تلك البرامج التي تقوم بتشغيلها على هاتفك المحمول أو جهازك اللوحي لإنشاء رموز تسجيل دخول لمرة واحدة تساعد في تأمين حساباتك عبر الإنترنت بأكثر من مجرد كلمة مرور.
تكمن مشكلة كلمات المرور التقليدية في وجود العديد من الطرق التي يمكن للمحتالين التسول بها أو سرقتها أو استعارتها.
هناك تصفح الكتف، حيث يطل أحد المحتالين في وسطك على كتفك أثناء كتابته ؛ هناك التخمين الملهم، حيث استخدمت عبارة يمكن للمحتال أن يتنبأ بها بناءً على اهتماماتك الشخصية ؛ هناك التصيد، حيث يتم استدراجك لتسليم كلمة مرورك إلى محتال ؛ و هناك ال keylogging، حيث تقوم البرامج الضارة المزروعة بالفعل على جهاز الكمبيوتر الخاص بك بتتبع ما تكتبه وتبدأ في التسجيل سرًا كلما زرت موقع ويب يبدو مثيرًا للاهتمام.
ونظرًا لأن كلمات المرور التقليدية تظل كما هي من تسجيل الدخول إلى تسجيل الدخول ، فإن المحتالين الذين يكتشفون كلمة المرور اليوم يمكنهم في كثير من الأحيان استخدامها مرارًا وتكرارًا في أوقات فراغهم ، غالبًا لأسابيع ، وربما لأشهر ، وأحيانًا لسنوات.
لذا فإن تطبيقات 2FA ، برموز تسجيل الدخول لمرة واحدة ، تزيد من كلمة مرورك العادية بسر إضافي ، عادة ما يكون رقمًا مكونًا من ستة أرقام ، يتغير في كل مرة.
هاتفك كعامل ثانٍ
يتم حساب الرموز المكونة من ستة أرقام التي يتم إنشاؤها عادةً بواسطة تطبيقات 2FA مباشرة على هاتفك ، وليس على الكمبيوتر المحمول ؛ أنها تستند إلى "مفتاح" أو "مفتاح بدء" يتم تخزينه على هاتفك ؛ وهي محمية برمز القفل على هاتفك ، وليس بأي كلمات مرور تكتبها بشكل روتيني على الكمبيوتر المحمول.
بهذه الطريقة ، لا يمكن للمحتالين الذين يتوسلون أو يستعيرون أو يسرقون كلمة مرورك العادية الانتقال مباشرة إلى حسابك.
يحتاج هؤلاء المهاجمون أيضًا إلى الوصول إلى هاتفك ، ويجب أن يكونوا قادرين على إلغاء قفل هاتفك لتشغيل التطبيق والحصول على الرمز لمرة واحدة. (عادةً ما تستند الرموز إلى التاريخ والوقت لأقرب نصف دقيقة ، لذلك يتم تغييرها كل 30 ثانية.)
والأفضل من ذلك ، أن الهواتف الحديثة تشتمل على رقائق تخزين آمنة غير قابلة للعبث (تطلق عليها Apple اسمها محيط آمن؛ تُعرف ملفات Google باسم عملاق) التي تحافظ على أسرارها حتى لو تمكنت من فصل الشريحة ومحاولة استخراج البيانات منها في وضع عدم الاتصال عبر مجسات كهربائية مصغرة ، أو عن طريق الحفر الكيميائي المقترن بالمجهر الإلكتروني.
بالطبع ، هذا "الحل" يجلب معه مشكلة خاصة به ، وهي: كيف يمكنك عمل نسخة احتياطية من بذور 2FA المهمة جدًا في حالة فقد هاتفك ، أو شراء واحد جديد وترغب في التبديل إليه؟
الطريقة الخطيرة لعمل نسخة احتياطية من البذور
تتطلب معظم الخدمات عبر الإنترنت إعداد تسلسل رمز 2FA لحساب جديد عن طريق إدخال سلسلة من 20 بايت من البيانات العشوائية ، مما يعني أن تكتب بصعوبة 40 حرفًا سداسيًا عشريًا (أساس 16) ، واحدًا لكل نصف بايت ، أو عن طريق إدخال 32 حرفًا بعناية في ترميز base-32 ، والذي يستخدم الأحرف A إلى Z والأرقام الستة 234567 (صفر وواحد غير مستخدمين لأنهما يبدوان مثل O-for-Oscar و I-for-India).
باستثناء أنه عادةً ما تحصل على فرصة لتجنب متاعب النقر يدويًا على سر البداية الخاص بك عن طريق المسح في نوع خاص من عنوان URL عبر رمز الاستجابة السريعة بدلاً من ذلك.
تحتوي عناوين URL الخاصة المصنّعة 2FA هذه على اسم الحساب وتشفير البداية الأولية فيها ، على هذا النحو (لقد حددنا البذرة هنا بـ 10 بايت ، أو 16 حرفًا أساسيًا 32 حرفًا ، للحفاظ على عنوان URL قصيرًا):
ربما يمكنك تخمين إلى أين يتجه هذا.
عندما تشغل كاميرا هاتفك المحمول لمسح رموز 2FA من هذا النوع ، فمن المغري التقاط صورة للرموز أولاً ، لاستخدامها كنسخة احتياطية ...
... لكننا نحثك على عدم القيام بذلك ، لأن أي شخص يحصل على هذه الصور لاحقًا (على سبيل المثال من حسابك السحابي ، أو لأنك تعيد توجيهها عن طريق الخطأ) سيعرف بذرك السري ، وسيكون قادرًا على إنشاء الحق تسلسل الرموز المكونة من ستة أرقام.
كيف ، لذلك ، لإجراء نسخ احتياطي لبيانات 2FA الخاصة بك بشكل موثوق دون الاحتفاظ بنسخ نص عادي من تلك الأسرار المزعجة متعددة البايت؟
Google Authenticator في العلبة
حسنًا ، قرر Google Authenticator مؤخرًا ، إذا كان متأخرًا ، البدء في تقديم خدمة "مزامنة الحساب" 2FA حتى تتمكن من نسخ تسلسلات رمز 2FA إلى السحابة ، واستعادتها لاحقًا إلى جهاز جديد ، على سبيل المثال إذا فقدت أو استبدلت هاتفك.
كمنفذ إعلامي واحد وصف ذلك، "يضيف Google Authenticator ميزة مهمة طال انتظارها بعد 13 عامًا."
ولكن ما مدى أمان هذا الحساب لمزامنة نقل البيانات؟
هل يتم تشفير بيانات البذور السرية الخاصة بك أثناء نقلها إلى سحابة Google؟
كما يمكنك أن تتخيل ، فإن جزء التحميل السحابي الخاص بنقل أسرار المصادقة الثنائية (2FA) الخاص بك مشفر بالفعل ، لأن Google ، مثل كل شركة مهتمة بالأمن هناك ، استخدمت HTTPS-and-only-HTTPS لجميع حركات المرور المستندة إلى الويب لعدة سنوات حتى الآن .
ولكن هل يمكن تشفير حسابات المصادقة الثنائية الخاصة بك باستخدام عبارة مرور خاصة بك بشكل فريد قبل أن يغادروا جهازك?
بهذه الطريقة ، لا يمكن اعتراضهم (سواء بشكل قانوني أم لا) ، أو استدعائهم ، أو تسريبهم ، أو سرقتهم أثناء وجودهم في التخزين السحابي.
بعد كل شيء ، هناك طريقة أخرى لقول "في السحابة" وهي ببساطة "حفظها على جهاز كمبيوتر شخص آخر".
خمين ما؟
لدينا أصدقاؤنا المستقلون والمبرمجون في مجال الأمن السيبراني في تضمين التغريدة، الذي كتبناه عدة مرات من قبل على Naked Security ، قرروا معرفة ذلك.
ابحث عن قالوا لا يبدو مشجعًا بشكل رهيب.
قامت Google للتو بتحديث تطبيق 2FA Authenticator الخاص بها وأضافت ميزة تشتد الحاجة إليها: القدرة على مزامنة الأسرار عبر الأجهزة.
TL ؛ DR: لا تقم بتشغيله.
يتيح التحديث الجديد للمستخدمين تسجيل الدخول باستخدام حساباتهم في Google ومزامنة أسرار المصادقة الثنائية عبر أجهزتهم التي تعمل بنظام التشغيل iOS و Android ... ... pic.twitter.com/a8hhelupZR
- مسك 🇨🇦🇩🇪 (mysk_co) 26 نيسان
كما ترى أعلاه ، ادعىmysk_co ما يلي:
- تفاصيل حساب 2FA الخاص بك ، بما في ذلك البذور ، كانت غير مشفرة داخل حزم شبكة HTTPS الخاصة بهم. بعبارة أخرى ، بمجرد إزالة التشفير على مستوى النقل بعد وصول التحميل ، تصبح البذور الخاصة بك متاحة لـ Google ، وبالتالي ، ضمنيًا ، لأي شخص لديه أمر بحث عن بياناتك.
- لا يوجد خيار عبارة مرور لتشفير التحميل قبل أن يغادر جهازك. كما يشير فريقmysc_co ، تتوفر هذه الميزة عند مزامنة المعلومات من Google Chrome ، لذلك يبدو من الغريب أن عملية مزامنة 2FA لا تقدم تجربة مستخدم مماثلة.
إليك عنوان URL الذي تم إنشاؤه لإنشاء حساب 2FA جديد في تطبيق Google Authenticator:
otpauth: // totp / Twitter @ Apple؟ secret = 6QYW4P6KWAFGCUWM & source = Amazon
وإليك مجموعة من حركة مرور الشبكة التي قام Google Authenticator بمزامنتها مع السحابة ، مع إزالة تشفير أمان النقل (TLS):
لاحظ أن الأحرف السداسية العشرية المميزة تتطابق مع 10 بايت من البيانات الأولية التي تتوافق مع "سر" base-32 في عنوان URL أعلاه:
$ luax Lua 5.4.5 حقوق الطبع والنشر (C) 1994-2023 Lua.org، PUC-Rio __ ___ (o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ تمت إضافة وحدات Duck المفضلة في package.preload {}> b32seed = '6QYW4P6KWAFGCUWM'> rawseed = base.unb32 (b32seed)> البذور الخام: len () 10> base.b16 (البذور الأولية) F4316E3FCAB00A6152CC
ماذا ستفعلين.. إذًا؟
نتفق مع اقتراح @ mysk_co ، وهو ، "نوصي باستخدام التطبيق بدون ميزة المزامنة الجديدة في الوقت الحالي."
نحن على يقين من أن Google ستضيف ميزة عبارة مرور إلى ميزة مزامنة 2FA قريبًا ، بالنظر إلى هذه الميزة موجود أصلا في متصفح Chrome ، كما هو موضح في صفحات المساعدة الخاصة بـ Chrome:
حافظ على خصوصية معلوماتك
باستخدام عبارة المرور ، يمكنك استخدام سحابة Google لتخزين ومزامنة بيانات Chrome دون السماح لـ Google بقراءتها. […] عبارات المرور اختيارية. تتم حماية بياناتك المتزامنة دائمًا عن طريق التشفير عندما تكون قيد النقل.
إذا قمت بالفعل بمزامنة البذور الخاصة بك ، لا داعي للذعر (لم تتم مشاركتها مع Google بطريقة تجعل من السهل على أي شخص آخر التطفل عليها) ، ولكنك ستحتاج إلى إعادة تعيين تسلسل 2FA لأي حسابات تقرر الآن أنه ربما كان عليك الاحتفاظ بها لنفسك .
بعد كل شيء ، قد يكون لديك إعداد 2FA للخدمات عبر الإنترنت مثل الحسابات المصرفية حيث تتطلب منك الشروط والأحكام الاحتفاظ بجميع بيانات اعتماد تسجيل الدخول لنفسك ، بما في ذلك كلمات المرور والبذور ، وعدم مشاركتها أبدًا مع أي شخص ، ولا حتى Google.
إذا كنت معتادًا على التقاط صور لرموز QR لبذور 2FA على أي حال ، دون التفكير كثيرًا في الأمر ، نوصيك بعدم القيام بذلك.
كما نحب أن نقول على Naked Security: إذا كنت في شك / لا تعطها.
لا يمكن أن تتسرب البيانات التي تحتفظ بها لنفسك ، أو تُسرق ، أو يتم استدعاؤها ، أو مشاركتها مع أطراف ثالثة من أي نوع ، سواء عن قصد أو عن طريق الخطأ.
التحديث. غوغل وردت على التغريد إلى تقرير @ mysk_co من خلال الاعتراف بأنها أطلقت عن قصد ميزة مزامنة حساب 2FA بدون ما يسمى بالتشفير من طرف إلى طرف (E2EE) ، لكنها ادعت أن الشركة لديها "تخطط لتقديم E2EE لـ Google Authenticator باستمرار." كما ذكرت الشركة أن "سيظل خيار استخدام التطبيق في وضع عدم الاتصال بديلاً لأولئك الذين يفضلون إدارة إستراتيجية النسخ الاحتياطي بأنفسهم ". [2023-04-26T18:37Z]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
