Почему вам больше никогда не стоит использовать Google Authenticator

никогда не используйте Google Auth

Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.

Использование только паролей, в общем – плохая идея, мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью Двух-Факторной Аутентификации (2FA).

В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.

pic_one

Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.

Как работает TOTP?

Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета. Этот секрет дложен быть известен вам и вашему провайдеру.

Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.

pic_two

Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.

В чём неадекватность TOTP?

Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.

1. Вам необходимо вручную вводить код во время авторизации (логина)

2. Слишком громоздкий бэкап. Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.

3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.

4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.

5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.

6. Секрет может быть раскрыт во время регистрации, так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но можете ли вы верить?

Как работает FIDO/U2F?

Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).

pic_three

Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.

Выгоды U2F:

1. Через Интернет никогда не пересылается секрет (приватный ключ)

Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.

2. Легче использовать. Нет нужды применять одноразовые коды.

3. Приватность. С секретом не ассоциируется никакая персональная информация.

4. Бекап теоретически легче. Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.

Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.

Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).

Купи TREZOR, будь биткойнером.

TREZOR – U2F “по-нашенски”

TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.

В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:

1. Легко бекапить и восстанавливать. TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.

2. Неограниченное количество U2F личностей, все они сохраняются в рамках единого бэкапа.

3. Секрет безопасно хранится в TREZORе. Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.

4. Защита от фишинга с подтверждением на экране. Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.

5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге, или в Пользовательской Документации.

Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.

Источник: blog.trezor.io



Categories: Top, Безопасность, Важное, Новичкам, Приложения, Сервисы, Технологии

Tags: , , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply

13 Комментарий на "Почему вам больше никогда не стоит использовать Google Authenticator"

Notify of
avatar
trackback
Блокчейн на страже персональных данных | Заработок онлайн доступный каждому

[…] Ваши личные данные когда-нибудь крали? Это крайне неприятно. Приходится обзванивать компании, выдавшие вам кредитки, с просьбой заменить все ваши карты – и убеждать их сделать это бесплатно. Нужно менять пароли доступа ко всем приложениям. Это ещё и постоянный страх перед тем, что кто-то может позвонить вашему мобильному оператору, чтобы, используя украденные данные, перенести ваш номер на обслуживание к другому оператору и, таким образом, получить полный доступ к вашим текстовым сообщениям. А доступ к текстовым сообщениям откроет хакеру дорогу во все ваши онлайн-сервисы, даже если вы достаточно осмотрительны и пользуетесь двухфакторной аутентикацией. […]

trackback
Блокчейн на страже персональных данных – Bit•Новости

[…] Ваши личные данные когда-нибудь крали? Это крайне неприятно. Приходится обзванивать компании, выдавшие вам кредитки, с просьбой заменить все ваши карты – и убеждать их сделать это бесплатно. Нужно менять пароли доступа ко всем приложениям. Это ещё и постоянный страх перед тем, что кто-то может позвонить вашему мобильному оператору, чтобы, используя украденные данные, перенести ваш номер на обслуживание к другому оператору и, таким образом, получить полный доступ к вашим текстовым сообщениям. А доступ к текстовым сообщениям откроет хакеру дорогу во все ваши онлайн-сервисы, даже если вы достаточно осмотрительны и пользуетесь двухфакторной аутентикацией. […]

trackback
Хакеры украли биткойнов на миллионы долларов — используя лишь телефонные номера жертв – Bit•Новости

[…] степени безопасности, вроде приложения под названием Google Authenticator, которое случайным образом генерирует коды на “hardware” […]

trackback
Как я разочаровался в Роджере Вере – Bit•Новости

[…] просто спросить, не так ли? Зачем собирать у себя на GMAIL ПОЧТЕ персональные данные 20 с лишним криптоанархистов, […]

Alexey
Гость

Незнаяю как Вы, а для меня биткони это средтво сбережения, биткоин кошелек использую только для одной цели, только чтобы сгенерировать номер кошелька и узнать для него приватный ключ (который записываю на бумажку). Все это делаю в офлайне, после этого приложение удаляю.
Кошелька периодически пополняю и все…

Anon
Гость

Не совсем понимаю биткоин. Как можно сгенить номер в оффлайне? А если он с невероятно низким шансом сгенерит уже существующий номер? Каким обращом он генерит номера и подпись в оффлайне не зная какие уже есть.

Alexey
Гость

Приложение Биткоин кошелек совсем не обязательно быть в онлайне чтобы отобразить номер кошелька и приватный ключ. Рекомендую почитать про то какие бывают кошельки. Статей много, но инерция мышления многих считать что биткоин кошелек как — то привязан к вашему компьютеру и что потеря, удаление ,поломка компа приведет к потере биткоинов, Вовсе нет (!) , если конечно вы своевременно позаботились о том, чтобы записать себе номер кошелька и его приватный ключ. Этой информации достаточно чтобы потом, при помощи любого биткоин кошелька восстановить доступ к своему кошельку.

Sandy
Гость

А если он с невероятно низким шансом сгенерит уже существующий номер? Каким обращом он генерит номера и подпись в оффлайне не зная какие уже есть.

Во-первых, вы и в онлайне не знаете какие есть.
Во-вторых, пространство адресов такое огромное, что вы при всем желании и за тысячу лет не сгенерируете такой, который уже есть.

example46272
Гость

Любую защиту предоставляет какая то компания, а значит с её помощью можно добраться до содержимого любого кошелька (аккаунта). Правильно сказано было то, что хакеры не будут охотиться за малыми суммами и не нужно класть все «яйца» в одну корзину …

Student13
Гость

Вы наверняка вне темы. Ваше высказывание чисто субъективная точка зрения (ну про «яйца» все будут согласны). Постарайтесь разобраться в теме глубже, код у Трезора открытый, можете поискать баги и уязвимости. Ну как? https://goo.gl/4ZBpnl готовы купить и обнаружить?

Анонимно
Гость

Самопиар трезора 🙂 Все равно, если сервис предоставляет 2FA через TOTP, то он никак не поможет.

trackback
Почему вам больше никогда не стоит использовать Google Authenticator | Заработок онлайн доступный каждому

[…] Source link […]

trackback
Почему вам больше никогда не стоит использовать Google Authenticator

[…] Источник […]

wpDiscuz