Các chuyên gia bảo mật phản đối tính năng đồng bộ hóa mới của Google Authenticat

Tác giả sysadmin, T.Năm 09, 2023, 10:09:46 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các chuyên gia bảo mật phản đối tính năng đồng bộ hóa mới của Google Authenticator


Tính năng đồng bộ hóa của Google Authenticator có thực sự an toàn không? Bản cập nhật Google Authenticator mới nhất bổ sung tính năng đồng bộ hóa tài khoản — về cơ bản, giờ đây bạn có thể lưu mật khẩu dùng một lần vào tài khoản Google của mình, điều này có thể hữu ích nếu bạn bị mất hoặc nâng cấp điện thoại. Nhưng, thật kỳ lạ, các nhà nghiên cứu bảo mật không hài lòng với tính năng được yêu cầu cao này.


Trong một tweet gần đây, nhà phát triển và nhà nghiên cứu bảo mật Mysk đã phát hiện ra rằng tính năng đồng bộ hóa của Google Authenticator không sử dụng mã hóa đầu cuối. Vì vậy, nếu ai đó chặn dữ liệu đồng bộ hóa của bạn (do vi phạm dữ liệu hoặc bằng cách lấy cắp tài khoản Google của bạn), họ có thể tìm thấy nguồn gốc mà Trình xác thực của bạn sử dụng để tạo mật khẩu một lần. Từ đó, tin tặc có thể tạo mật khẩu một lần cho bất kỳ trang web nào được liên kết với tài khoản Authenticator của bạn.

Ngoài ra, Mysk lưu ý rằng mã QR 2FA của Google Authenticator chứa tên trang web và tên tài khoản. Google có thể truy cập dữ liệu cá nhân này khi bạn sử dụng tính năng đồng bộ hóa của Authenticator vì tính năng này không sử dụng mã hóa đầu cuối. (Cá nhân tôi coi đây là một điểm tranh luận. Google đã biết bạn sử dụng trang web nào. Google sẽ không tìm hiểu bất kỳ điều gì đột phá bằng cách xem dữ liệu Authenticator của bạn.)

Chúng tôi luôn tập trung vào sự an toàn và bảo mật của người dùng @Google và các bản cập nhật mới nhất cho Google Authenticator cũng không ngoại lệ. Mục tiêu của chúng tôi là cung cấp các tính năng bảo vệ người dùng NHƯNG phải hữu ích và tiện lợi.

Về phần mình, Google đã có một phản ứng khá thận trọng đối với những lo ngại này. Christiaan Brand, Giám đốc sản phẩm của Google Identity and Security, giải thích rằng toàn bộ điểm trong tính năng đồng bộ hóa của Authenticator là ngăn mọi người bị khóa khỏi các tài khoản liên quan đến 2FA. Vì vậy, những bản sao lưu này cần phải tương đối dễ truy cập.

Christiaan Brand nói rằng mã hóa đầu cuối đầy đủ sẽ xuất hiện "ở đâu đó", có lẽ là một cài đặt tùy chọn cho người dùng đồng bộ hóa dữ liệu Authenticator với tài khoản Google của họ.

Tuy nhiên, trong mọi trường hợp, có vẻ như tính năng đồng bộ hóa của Authenticator cần đạt được sự cân bằng giữa tính bảo mật và sự tiện lợi—một thực tế có thể khiến 2FA trở nên kém hữu ích hơn nhiều so với những gì các nhà nghiên cứu bảo mật mong đợi. Điều này đặc biệt đúng trong không gian doanh nghiệp, vì tin tặc muốn tấn công một tập đoàn thường làm như vậy bằng cách nhắm mục tiêu vào nhân viên của tập đoàn đó.

Tin vui là tính năng đồng bộ hóa của Authenticator là tùy chọn. Và, nếu bạn thấy mình bị khóa khỏi các tài khoản được bảo vệ bằng 2FA, thường có một cách để khôi phục quyền truy cập tài khoản (chỉ là một nỗi đau ở cổ và hơi xấu hổ trong môi trường làm việc).