Google pojednostavljuje proces omogućavanja verifikacije u 2 koraka

Vesti, 08.05.2024, 12:30 PM

Google je objavio da pojednostavljuje proces omogućavanja dvofaktorske autentifikacije (2FA) za korisnike sa ličnim i Workspace nalozima.

Verifikacija u 2 koraka (2SV) kako se još naziva 2FA, je dodatna zaštita korisničkim nalozima koja sprečava preuzimanje naloga u slučaju krađe lozinki.

Najavljena promena podrazumeva dodavanje metode drugog koraka, kao što je aplikacija za autentifikaciju ili hardverski sigurnosni ključ, pre nego što se uključi 2FA, čime se eliminiše potreba za korišćenjem manje bezbedne autentifikacije zasnovane na SMS-u.

„Ovo je posebno korisno za organizacije koje koriste Google Authenticator (ili druge ekvivalentne aplikacije)“, kažu iz kompanije. „Ranije su korisnici morali da omoguće 2SV sa telefonskim brojem pre nego što bi mogli da dodaju Authenticator.“

Korisnici sa hardverskim sigurnosnim ključevima imaju dve opcije da ih dodaju na svoje naloge, uključujući registrovanje FIDO1 kredencijala na hardverskom ključu ili dodeljivanje lozinke (tj. FIDO2 kredencijala).

Google napominje da se od korisnika Workspace naloga i dalje može zahtevati da unesu svoje lozinke zajedno sa svojim pristupnim ključevima ako je opcija „Dozvoli korisnicima da preskaču lozinke pri prijavljivanju korišćenjem pristupnih ključeva“ isključena.

Korisnicima koji odluče da isključe 2FA u podešavanjima naloga sada više neće automatski biti uklonjeni upisani drugi koraci.

Moderne metode autentifikacije i standardi kao što je FIDO2 su dizajnirani da se odupru phishing napadima i hakovanju sesije korišćenjem kriptografskih ključeva generisanih i povezanih sa pametnim telefonima i računarima u cilju verifikacije korisnika za razliku od lozinke koja se može lako ukrasti.

Međutim, jedno novo istraživanje je otkrilo da bi napadač mogao da zaobiđe FIDO2 tako što će izvesti napad “napadač u sredini” (MitM) koji može da otme korisničke sesije u aplikacijama koje koriste rešenja za jednokratnu prijavu (SSO) kao što je Microsoft Entra ID, PingFederate i Yubico.

„Uspešan MitM napad otkriva ceo sadržaj zahteva i odgovora u procesu autentifikacije“, rekao je istraživač bezbednosti Dor Segal. „Kada se završi, napadač može da preuzme generisani kolačić stanja i da otme sesiju od žrtve. Jednostavno rečeno, nema validacije nakon što se autentifikacija završi.“

Napad je moguć zahvaljujući činjenici da većina aplikacija ne štiti tokene sesije kreirane nakon uspešne autentifikacije, što omogućava hakeru da dobije neovlašćeni pristup.

Štaviše, na uređaju koji je zahtevao sesiju ne vrši se validacija, što znači da svaki uređaj može da koristi kolačić dok ne istekne. Ovo omogućava da se zaobiđe korak autentifikacije preuzimanjem kolačića putem MitM napada.

Da bi se to sprečilo, savetuje se korišćenje tehnike token binding, koja omogućava aplikacijama i servisima da kriptografski vežu svoje bezbednosne tokene za Transport Layer Security (TLS). Iako je ova tehnika trenutno ograničena na Microsoft Edge, Google je prošlog meseca najavio novu funkciju u Chromeu pod nazivom Device Bound Session Credentials (DBSC) koja bi trebalo da zaštititi korisnike od krađe kolačića sesije i napada.