گوگل بهروزرسانیای را برای برنامه احراز هویت محبوب خود منتشر کرد که یک «کد یکبار مصرف» را در فضای ذخیرهسازی ابری ذخیره میکند و به کاربرانی که دستگاه را با احراز هویت روی آن گم کردهاند اجازه میدهد به 2FA خود دسترسی داشته باشند.
در یک وبلاگ 24 آوریل پست با اعلام این بهروزرسانی، گوگل گفت که کدهای یکبار مصرف در حساب Google کاربر ذخیره میشوند و ادعا میکند که کاربران «بهتر از قفل محافظت میشوند» و «راحتی و امنیت» را افزایش میدهد.
در ردیت 26 آوریل پست به انجمن r/Cryptocurrency، Redditor u/pojut نوشت که اگرچه این بهروزرسانی به کسانی که دستگاه را با برنامه احراز هویت خود در آن گم میکنند کمک میکند، اما آنها را در برابر هکرها آسیبپذیرتر میکند.
با ایمن کردن آن در فضای ذخیرهسازی ابری مرتبط با حساب Google کاربر، به این معنی است که هر کسی که بتواند به رمز عبور Google کاربر دسترسی پیدا کند، متعاقباً به برنامههای مرتبط با احراز هویت خود دسترسی کامل خواهد داشت.
کاربر پیشنهاد کرد که یک راه بالقوه برای حل مشکل SMS 2FA استفاده از تلفن قدیمی است که منحصراً برای قرار دادن برنامه احراز هویت شما استفاده می شود.
من همچنین اکیداً پیشنهاد میکنم که در صورت امکان، باید یک دستگاه جداگانه (شاید یک تلفن قدیمی یا تبلت قدیمی) داشته باشید که تنها هدف آن در زندگی این است که برای برنامه احراز هویت انتخابی شما استفاده شود. چیز دیگری روی آن نگذارید و از آن برای هیچ چیز دیگری استفاده نکنید.»
به طور مشابه، توسعه دهندگان امنیت سایبری مشک گرفت به توییتر برای هشدار در مورد عوارض اضافی که با راه حل مبتنی بر ذخیره سازی ابری Google برای 2FA همراه است.
گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.
TL;DR: آن را روشن نکنید.
بهروزرسانی جدید به کاربران امکان میدهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاههای iOS و Android خود همگامسازی کنند.… pic.twitter.com/a8hhelupZR
– مشک (@mysk_co) 26 آوریل 2023
این میتواند برای کاربرانی که از Google authenticator برای 2FA برای ورود به حسابهای صرافی رمزنگاریشان و سایر سرویسهای مرتبط با امور مالی استفاده میکنند، نگرانی مهمی باشد.
رایجترین هک 2FA نوعی کلاهبرداری هویت است که به نام «تعویض سیمکارت» شناخته میشود که در آن کلاهبرداران با فریب دادن ارائهدهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را به دست میآورند.
نمونه اخیر این می تواند باشد در دادخواستی که علیه آن اقامه شده مشاهده شده است صرافی ارز دیجیتال کوین بیس مستقر در ایالات متحده، جایی که یک مشتری ادعا کرد که پس از قربانی شدن در چنین حمله ای “90٪ پس انداز زندگی خود” را از دست داده است.
قابل ذکر است که خود Coinbase استفاده از برنامه های احراز هویت را برای 2FA به جای پیامک و توصیف SMS 2FA به عنوان “کمترین امن ترین” فرم احراز هویت.
حدس می زنم رمز عبور او به خطر بیفتد زیرا در سایت های دیگر استفاده شده است که یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را برای 2FA با برچسبگذاری “امن” و پیامک “متوسط امن” تشویق میکند.
– دیو فرگوسن (@_sc0rn) 7 مارس 2023
در Reddit، کاربران دعوی را مورد بحث قرار داد و حتی پیشنهاد کرد که SMS 2FA ممنوع شود. همانطور که یکی از کاربران Reddit اشاره کرد در حال حاضر به عنوان تنها گزینه احراز هویت موجود برای تعدادی از خدمات فین تک و مرتبط با ارزهای دیجیتال است:
متأسفانه بسیاری از خدماتی که من استفاده می کنم هنوز Authenticator 2FA را ارائه نمی دهند. اما من قطعاً فکر میکنم که روش پیامکی ناامن است و باید ممنوع شود.»
شرکت امنیتی بلاک چین CertiK در مورد این هشدار داده است خطرات استفاده از پیامک 2FA، با کارشناس امنیتی خود جسی لکلر، به کوین تلگراف می گوید: «SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.
مجله: از هر 10 فروش NFT، 4 مورد جعلی است: یاد بگیرید علائم تجارت شستشو را تشخیص دهید