Video: Реклама подобрана на основе следующей информации: (Nobyembre 2024)
SAN FRANCISCO - Nagamit ng mga mananaliksik ang mga password na tukoy sa application upang makaligtaan ang pagpapatunay ng dalawang salik ng Google at makakuha ng ganap na kontrol sa Gmail account ng isang gumagamit.
Ang 2013 RSA Security Conference ay nagsisimula sa masidhing bukas ng umaga, ngunit marami sa mga dumalo sa kumperensya ay umiikot na sa Moscone Center ng San Francisco upang makipag-usap sa Cloud Security Alliance Summit at ang Trusted Computing Group Panel. Ang iba ay sumakit sa mga pag-uusap sa malawak na dami ng mga paksang may kaugnayan sa seguridad sa iba pang mga dadalo. Ang post na ito kaninang umaga mula sa Duo Security tungkol sa kung paano natagpuan ng mga mananaliksik ang isang paraan upang malampasan ang dalawang-salin na pagpapatunay ng Google ay isang karaniwang paksa ng talakayan ngayong umaga.
Pinapayagan ng Google ang mga gumagamit na i-on ang dalawang-factor na pagpapatunay sa kanilang account sa Gmail para sa mas malakas na seguridad at makabuo ng mga espesyal na token ng pag-access para sa mga aplikasyon na hindi sumusuporta sa dalawang hakbang na pag-verify. Ang mga mananaliksik sa Duo Security ay natagpuan ang isang paraan upang abusuhin ang mga espesyal na token na ganap na maiiwasan ang proseso ng two-factor, isinulat ni Adam Goodman, pangunahing security engineer sa Duo Security. Ipinagbigay-alam ng Duo Security sa Google ang mga isyu, at ang kumpanya ay "nagpatupad ng ilang mga pagbabago upang mabawasan ang pinaka-seryosong mga banta, " sulat ni Goodman.
"Sa palagay namin ito ay isang halip makabuluhang butas sa isang malakas na sistema ng pagpapatunay kung ang isang gumagamit ay mayroon pa ring ilang anyo ng 'password' na sapat upang sakupin ang buong kontrol ng kanyang account, " sulat ni Goodman.
Gayunpaman, sinabi rin niya na ang pagkakaroon ng pagpapatunay ng dalawang salik, kahit na sa bahing ito, ay "hindi pantay na mas mahusay" kaysa lamang sa pag-asa sa isang normal na kumbinasyon ng username / password.
Ang Isyu Sa Mga ASP
Ang dalawang-factor na pagpapatunay ay isang mabuting paraan upang ma-secure ang mga account ng gumagamit, dahil nangangailangan ito ng isang bagay na alam mo (ang password) at isang bagay na mayroon ka (isang mobile device upang makuha ang espesyal na code). Ang mga gumagamit na naka-on ng dalawang-factor sa kanilang mga Google account ay kinakailangang magpasok ng kanilang normal na mga kredensyal sa pag-login, at pagkatapos ay ipinakita ang espesyal na one-use password sa kanilang mobile device. Ang espesyal na password ay maaaring mabuo ng isang app sa mobile device o ipinadala sa pamamagitan ng mensahe ng SMS, at tiyak ang aparato. Nangangahulugan ito na hindi kailangang mag-alala ang gumagamit tungkol sa paggawa ng isang bagong code sa bawat solong oras na mag-log in, ngunit sa bawat oras na nag-log in sila mula sa isang bagong aparato. Gayunpaman, para sa karagdagang seguridad, ang code ng pagpapatunay ay nag-e-expire tuwing 30 araw.
Mahusay na ideya at pagpapatupad, ngunit kinailangan ng Google na gumawa ng "ilang mga kompromiso, " tulad ng mga password na tiyak na aplikasyon, upang ang mga gumagamit ay maaari pa ring gumamit ng mga application na hindi sumusuporta sa pag-verify ng dalawang hakbang, sinabi ni Goodman. Ang mga ASP ay mga dalubhasang token na nabuo para sa bawat aplikasyon (samakatuwid ang pangalan) na ipinasok ng mga gumagamit sa lugar ng kumbinasyon ng password / token. Ang mga gumagamit ay maaaring gumamit ng ASP para sa mga kliyente ng email tulad ng Mozilla Thunderbird, mga kliyente ng chat tulad ng Pidgin, at mga aplikasyon sa kalendaryo. Ang mga matatandang bersyon ng Android ay hindi rin sumusuporta sa dalawang hakbang, kaya kailangang gumamit ang mga gumagamit ng ASP upang mag-sign in sa mga mas matatandang telepono at tablet. Maaari ring alisin ng mga gumagamit ang pag-access sa kanilang Google account sa pamamagitan ng hindi pagpapagana ng ASP ng application na iyon.
Natuklasan ng Duo Security na ang mga ASP talaga ay hindi tiyak sa application, pagkatapos ng lahat, at maaaring magawa ang higit pa sa paghawak ng email sa IMAP protocol o mga kaganapan sa kalendaryo gamit ang CalDev. Sa katunayan, ang isang code ay maaaring magamit upang mag-log in sa halos anumang mga katangian ng Web ng Google salamat sa isang bagong tampok na "auto-login" na ipinakilala sa kamakailang mga bersyon ng Android at Chrome OS. Pinapayagan ang mga auto-login na gumagamit na naka-link sa kanilang mga mobile device o Chromebook sa kanilang mga Google account upang awtomatikong ma-access ang lahat ng mga pahina na nauugnay sa Google sa Web nang hindi nakakakita ng isa pang pahina sa pag-login.
Sa ASP na iyon, may maaaring dumiretso sa "pahina ng pagbawi ng account" at i-edit ang mga email address at numero ng telepono kung saan ipinadala ang mga mensahe ng pag-reset ng password.
"Ito ay sapat na para sa amin upang mapagtanto na ang mga ASP ay nagpakita ng ilang mga nakakagulat na seryosong banta sa seguridad, " sabi ni Goodman.
Hinarang ng Duo Security ang isang ASP sa pamamagitan ng pagsusuri ng mga kahilingan na ipinadala mula sa isang aparato ng Android sa mga server ng Google. Habang ang isang phishing scheme upang maagaw ang mga ASP ay malamang ay may mababang rate ng tagumpay, ang Duo Security ay nag-isip na ang malware ay maaaring idinisenyo upang kunin ang mga ASP na nakaimbak sa aparato o samantalahin ang hindi magandang pagpapatunay ng SSL sertipikasyon upang maagap ang mga ASP bilang bahagi ng isang man-in- ang gitna-atake.
Habang tinutugunan ng mga pag-aayos ng Google ang mga problema na natagpuan, "nais naming makita ang Google na nagpapatupad ng ilang mga paraan upang higit na mapigilan ang mga pribilehiyo ng mga indibidwal na ASP, " sulat ni Goodman.
Upang makita ang lahat ng mga post mula sa aming saklaw ng RSA, tingnan ang aming pahina ng Mga Ulat sa Mga Ulat.
