خطر پشتیبان گیری ابری جدید گوگل برای احراز هویت 2FA

به روز رسانی جدید 2FA authenticator گوگل می تواند کاربران را در برابر هک آسیب پذیر کند.

گوگل به‌روزرسانی‌ای را برای برنامه احراز هویت محبوب خود منتشر کرد که یک کد یک‌بار مصرف را در فضای ذخیره‌سازی ابری ذخیره می‌کند و به کاربرانی که دستگاه را با احراز هویت روی آن گم کرده‌اند اجازه می‌دهد به احراز هویت دو مرحله‌ای خود (2FA) دسترسی داشته باشند.

در یک پست وبلاگی در ۲۴ آوریل که این به‌روزرسانی را اعلام کرد، گوگل گفت که کدهای یکبار مصرف در حساب Google کاربر ذخیره می‌شوند و ادعا می‌کنند که کاربران «بهتر از قفل شدن محافظت می‌شوند» و راحتی و امنیت را افزایش می‌دهد.

Redditor u/pojut در یک پست Reddit در ۲۶ آوریل در انجمن r/Cryptocurrency نوشت که اگرچه این به‌روزرسانی به کسانی که دستگاه را با برنامه احراز هویت خود در آن گم می‌کنند کمک می‌کند، اما آنها را در برابر هکرها آسیب‌پذیرتر می‌کند .

با ایمن کردن آن در فضای ذخیره‌سازی ابری مرتبط با حساب گوگل کاربر، به این معنی است که هر کسی که بتواند به رمز عبور گوگل کاربر دسترسی پیدا کند، متعاقباً به برنامه‌های مرتبط با احراز هویت خود دسترسی کامل خواهد داشت.

کاربر پیشنهاد کرد که یک راه بالقوه برای حل مشکل SMS 2FA استفاده از تلفن قدیمی است که منحصراً برای قرار دادن برنامه احراز هویت شما استفاده می شود.

« من همچنین قویاً پیشنهاد می‌کنم که در صورت امکان، باید یک دستگاه جداگانه (شاید یک تلفن قدیمی یا تبلت قدیمی) داشته باشید که تنها هدف آن در زندگی این است که برای برنامه احراز هویت انتخابی شما استفاده شود. چیز دیگری روی آن نگذارید و از آن برای هیچ چیز دیگری استفاده نکنید.»

به طور مشابه، توسعه دهندگان امنیت سایبری Mysk در توییتر هشدار دادند تا در مورد عوارض جانبی راه حل مبتنی بر ذخیره سازی ابری گوگل برای 2FA هشدار دهند.

گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.

این می‌تواند برای کاربرانی که از Google Authenticator برای 2FA برای ورود به حساب‌های صرافی رمزارز و سایر سرویس‌های مرتبط با امور مالی خود استفاده می‌کنند، نگرانی مهمی باشد.

سایر مسائل امنیتی 2FA

رایج‌ترین هک 2FA نوعی کلاهبرداری هویت است که به نام «تعویض سیم‌کارت» شناخته می‌شود که در آن کلاهبرداران با فریب دادن ارائه‌دهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را به دست می‌آورند.

نمونه اخیر این مورد را می توان در شکایتی که علیه صرافی ارزهای دیجیتال مستقر در ایالات متحده Coinbase تنظیم شده است مشاهده کرد، جایی که یک مشتری ادعا کرد که “۹۰٪ پس انداز زندگی خود” را پس از قربانی شدن در چنین حمله ای از دست داده است.

قابل توجه است که خود Coinbase استفاده از برنامه های احراز هویت را برای 2FA به جای پیامک تشویق می کند و SMS 2FA را به عنوان نا امن ترین شکل احراز هویت توصیف می کند .

در Reddit، کاربران در مورد این شکایت بحث کردند و حتی پیشنهاد کردند که SMS 2FA ممنوع شود، اگرچه یکی از کاربران Reddit خاطرنشان کرد که در حال حاضر به عنوان تنها گزینه احراز هویت موجود برای تعدادی از خدمات مرتبط با فین‌تک و ارزهای دیجیتال است:

« متأسفانه بسیاری از خدماتی که من استفاده می کنم هنوز Authenticator 2FA را ارائه نمی دهند. اما من قطعاً فکر می‌کنم که روش پیامکی ناامن است و باید ممنوع شود.»

شرکت امنیتی بلاک چین CertiK در مورد خطرات استفاده از SMS 2FA هشدار داده است و کارشناس امنیتی آن Jesse Leclere  گفته است که:

“SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود. “