Video: Двухэтапная проверка с помощью Google Authenticator | Ting Tip (September 2024)
SAN FRANCISCO - Forskare kunde använda applikationsspecifika lösenord för att kringgå Googles tvåfaktorautentisering och få full kontroll över användarens Gmail-konto.
RSA-säkerhetskonferensen 2013 börjar på allvar i morgon morgon, men många av konferensdeltagarna malade sig redan i San Franciscos Moscone Center för att diskutera vid Cloud Security Alliance Summit och Trusted Computing Group Panel. Andra slog upp samtal om ett brett sortiment av säkerhetsrelaterade ämnen med andra deltagare. Morgonens inlägg från Duo Security om hur forskare hade hittat ett sätt att kringgå Googles tvåfaktorautentisering var ett vanligt diskussionsämne i morse.
Google tillåter användare att aktivera tvåfaktorautentisering på sitt Gmail-konto för starkare säkerhet och generera speciella åtkomsttecken för applikationer som inte stöder verifiering i två steg. Forskare på Duo Security hittade ett sätt att missbruka de speciella symbolerna för att kringgå tvåfaktorprocessen, skrev Adam Goodman, huvudsäkerhetsingenjör på Duo Security. Duo Security meddelade Google om problemen och företaget har "genomfört några förändringar för att mildra de allvarligaste av hoten", skrev Goodman.
"Vi tycker att det är ett ganska betydande hål i ett starkt autentiseringssystem om en användare fortfarande har någon form av" lösenord "som är tillräckligt för att ta över full kontroll över sitt konto, " skrev Goodman.
Men han sade också att att ha tvåfaktorsautentisering, även med denna brist, var "otvetydigt bättre" än att bara lita på en vanlig användarnamn / lösenordskombination.
Problemet med ASP: er
Tvåfaktorautentisering är ett bra sätt att säkra användarkonton eftersom det kräver något du vet (lösenordet) och något du har (en mobil enhet för att få den speciella koden). Användare som har aktiverat tvåfaktorer på sina Google-konton måste ange sina normala inloggningsuppgifter och sedan det speciella lösenordet för en användning som visas på sin mobila enhet. Det speciella lösenordet kan genereras av en app på mobilenheten eller skickas via SMS och är enhetsspecifikt. Detta betyder att användaren inte behöver oroa sig för att skapa en ny kod varje gång de loggar in, utan varje gång de loggar in från en ny enhet. För ytterligare säkerhet upphör verifieringskoden dock var 30: e dag.
Bra idé och implementering, men Google var tvungen att göra "några kompromisser", till exempel applikationsspecifika lösenord, så att användare fortfarande kan använda applikationer som inte stöder verifiering i två steg, noterade Goodman. ASP: er är specialiserade tokens som genereras för varje applikation (därav namnet) som användare anger i stället för lösenord / token-kombinationen. Användare kan använda ASP: er för e-postklienter som Mozilla Thunderbird, chattklienter som Pidgin och kalenderapplikationer. Äldre Android-versioner stöder inte heller tvåsteg, så användarna måste använda ASP: er för att logga in på äldre telefoner och surfplattor. Användare kan också återkalla åtkomst till sitt Google-konto genom att inaktivera applikationens ASP.
Duo Security upptäckte att ASP: er egentligen inte var applikationsspecifika, trots allt, och kunde göra mer än bara ta tag i e-post över IMAP-protokollet eller kalenderhändelser med CalDev. I själva verket kan en kod användas för att logga in på nästan alla Googles webbegenskaper tack vare en ny "automatisk inloggnings" -funktion som introducerades i senaste versioner av Android och Chrome OS. Auto-inloggning tillät användare som länkade sina mobila enheter eller Chromebook till sina Google-konton för att automatiskt komma åt alla Google-relaterade sidor på webben utan att någonsin se en annan inloggningssida.
Med den ASP kan någon gå direkt till ”Kontoåterställningssidan” och redigera e-postadresser och telefonnummer där meddelanden om återställning av lösenord skickas.
"Detta räckte för att vi insåg att ASP: er presenterade några överraskande allvarliga säkerhetshot, " sade Goodman.
Duo Security avlyssnade en ASP genom att analysera förfrågningar skickade från en Android-enhet till Googles servrar. Medan ett phishing-schema för att avlyssna ASP: er troligtvis skulle ha en låg framgångsrate, spekulerade Duo Security att skadlig programvara skulle kunna utformas för att extrahera ASP: er som lagras på enheten eller utnyttja dålig SSL-certifikatverifiering för att fånga ASP: er som en del av en man-in- den mellersta attacken.
Medan Googles korrigeringar hanterar de upptäckta problemen, "skulle vi gärna se att Google implementerar några sätt att ytterligare begränsa privilegierna för enskilda ASP: er", skrev Goodman.
För att se alla inlägg från vår RSA-täckning, kolla in vår sida för rapporter.
