Η Google κυκλοφόρησε μια ενημέρωση για τη δημοφιλή εφαρμογή ελέγχου ταυτότητας που αποθηκεύει έναν «κωδικό μιας χρήσης» στο cloud, επιτρέποντας στους χρήστες που έχουν χάσει τη συσκευή με τον έλεγχο ταυτότητας τους να διατηρούν πρόσβαση στην 2FA εφαρμογή.
Σε μια ανάρτηση στις 24 Απριλίου που ανακοινώνει την ενημέρωση, η Google είπε ότι οι κωδικοί μιας χρήσης θα αποθηκευτούν στον Λογαριασμό Google ενός χρήστη, υποστηρίζοντας ότι οι χρήστες θα προστατεύονται καλύτερα από το να «κλειδωθούν εκτός της εφαρμογής» και θα αυξήσει την «ευκολία και ασφάλεια».
Σε μια ανάρτηση στο Reddit στις 26 Απριλίου στο φόρουμ r/Cryptocurrency, ο Redditor u/pojut έγραψε ότι ενώ η ενημέρωση βοηθάει πράγματι όσους χάνουν μια συσκευή με την εφαρμογή ελέγχου ταυτότητας σε αυτήν, τους καθιστά επίσης πιο ευάλωτους στους χάκερς.
Με την αποθήκευση των κωδικών στο cloud που σχετίζεται με τον λογαριασμό Google του χρήστη, σημαίνει ότι οποιοσδήποτε μπορεί να αποκτήσει πρόσβαση στον κωδικό πρόσβασης Google του χρήστη θα αποκτήσει στη συνέχεια πλήρη πρόσβαση στις εφαρμογές του που συνδέονται με τον έλεγχο ταυτότητας.
Crypto Hub: Μια νέα εφαρμογή για Android για να βρείτε τα πιο σημαντικά δεδομένα για κάθε κρυπτονόμισμα και να έχετε πρόσβαση στα πιο σημαντικά εργαλεία.
Ο χρήστης πρότεινε ότι ένας πιθανός τρόπος αντιμετώπισης του ζητήματος 2FA είναι να χρησιμοποιήσετε ένα παλιό τηλέφωνο που χρησιμοποιείται αποκλειστικά για τη στέγαση της εφαρμογής ελέγχου ταυτότητας.
«Θα πρότεινα επίσης ανεπιφύλακτα ότι, εάν είναι δυνατόν, θα πρέπει να έχετε μια ξεχωριστή συσκευή (ίσως ένα παλιό τηλέφωνο ή ένα παλιό tablet) της οποίας ο μοναδικός σκοπός στη ζωή είναι να χρησιμοποιηθεί για την εφαρμογή ελέγχου ταυτότητας της επιλογής σας. Μην κρατάτε τίποτα άλλο πάνω του και μην το χρησιμοποιήσετε για τίποτα άλλο.»
Ομοίως, οι προγραμματιστές κυβερνοασφάλειας Mysk προειδοποίησαν στο Twitter για πρόσθετες επιπλοκές που συνοδεύουν τη λύση για το 2FA της Google που βασίζεται σε αποθήκευση στο cloud.
Αυτό θα μπορούσε να αποδειχθεί σημαντική ανησυχία για τους χρήστες που χρησιμοποιούν το Google Authenticator για 2FA για να συνδεθούν στους λογαριασμούς σε ανταλλακτήρια κρυπτονομισμάτων και σε άλλες υπηρεσίες που σχετίζονται με τα οικονομικά τους.
Άλλα ζητήματα ασφαλείας όσον αφορά το 2FA
Το πιο συνηθισμένο hack όσον αφορά το 2FA είναι ένας τύπος απάτης ταυτότητας γνωστός ως «ανταλλαγή SIM», όπου οι απατεώνες αποκτούν τον έλεγχο ενός αριθμού τηλεφώνου εξαπατώντας τον πάροχο τηλεπικοινωνιών να συνδέσει τον αριθμό με τη δική τους κάρτα SIM.
Ένα πρόσφατο παράδειγμα αυτού μπορεί να φανεί σε μια αγωγή που κατατέθηκε κατά του ανταλλακτηρίου κρυπτονομισμάτων Coinbase που εδρεύει στις Ηνωμένες Πολιτείες, όπου ένας πελάτης ισχυρίστηκε ότι έχασε το “90% των αποταμιεύσεων ζωής του” αφού έπεσε θύμα μιας τέτοιας επίθεσης.
Συγκεκριμένα, η ίδια η Coinbase ενθαρρύνει τη χρήση εφαρμογών ελέγχου ταυτότητας για 2FA σε αντίθεση με τα SMS, περιγράφοντας το SMS 2FA ως τη «λιγότερο ασφαλή» μορφή ελέγχου ταυτότητας.
Στο Reddit, οι χρήστες συζήτησαν την αγωγή αυτή και πρότειναν ακόμη και την απαγόρευση του SMS 2FA, αν και ένας χρήστης του Reddit σημείωσε ότι αυτή τη στιγμή είναι η μόνη διαθέσιμη επιλογή ελέγχου ταυτότητας για μια σειρά υπηρεσιών που σχετίζονται με fintech και κρυπτονομίσματα:
Δυστυχώς πολλές υπηρεσίες που χρησιμοποιώ δεν υποστηρίζουν ακόμη το Authenticator 2FA. Αλλά σίγουρα πιστεύω ότι η προσέγγιση των SMS έχει αποδειχθεί μη ασφαλής και πρέπει να απαγορευτεί.
Crypto Hub: Μια νέα εφαρμογή για Android για να βρείτε τα πιο σημαντικά δεδομένα για κάθε κρυπτονόμισμα και να έχετε πρόσβαση στα πιο σημαντικά εργαλεία.
Η εταιρεία ασφάλειας για το Blockchain, CertiK, έχει προειδοποιήσει για τους κινδύνους από τη χρήση του SMS 2FA, με τον ειδικό σε θέματα ασφάλειας Jesse Leclere να λέει στην Cointelegraph ότι «το SMS 2FA είναι καλύτερο από το τίποτα, αλλά είναι η πιο ευάλωτη μορφή 2FA που χρησιμοποιείται αυτή τη στιγμή».
Αν σας αρέσουν αυτά που γράφουμε μπορείτε να μας βρείτε στα παρακάτω social media για να μας ακολουθήσετε και να μας στηρίξετε:
Πηγή: Cointelegraph
