Google pojednostavljuje proces omogućavanja verifikacije u 2 koraka

Vesti, 08.05.2024, 12:30 PM

Google pojednostavljuje proces omogućavanja verifikacije u 2 koraka

Google je objavio da pojednostavljuje proces omogućavanja dvofaktorske autentifikacije (2FA) za korisnike sa ličnim i Workspace nalozima.

Verifikacija u 2 koraka (2SV) kako se još naziva 2FA, je dodatna zaštita korisničkim nalozima koja sprečava preuzimanje naloga u slučaju krađe lozinki.

Najavljena promena podrazumeva dodavanje metode drugog koraka, kao što je aplikacija za autentifikaciju ili hardverski sigurnosni ključ, pre nego što se uključi 2FA, čime se eliminiše potreba za korišćenjem manje bezbedne autentifikacije zasnovane na SMS-u.

„Ovo je posebno korisno za organizacije koje koriste Google Authenticator (ili druge ekvivalentne aplikacije)“, kažu iz kompanije. „Ranije su korisnici morali da omoguće 2SV sa telefonskim brojem pre nego što bi mogli da dodaju Authenticator.“

Korisnici sa hardverskim sigurnosnim ključevima imaju dve opcije da ih dodaju na svoje naloge, uključujući registrovanje FIDO1 kredencijala na hardverskom ključu ili dodeljivanje lozinke (tj. FIDO2 kredencijala).

Google napominje da se od korisnika Workspace naloga i dalje može zahtevati da unesu svoje lozinke zajedno sa svojim pristupnim ključevima ako je opcija „Dozvoli korisnicima da preskaču lozinke pri prijavljivanju korišćenjem pristupnih ključeva“ isključena.

Korisnicima koji odluče da isključe 2FA u podešavanjima naloga sada više neće automatski biti uklonjeni upisani drugi koraci.

Moderne metode autentifikacije i standardi kao što je FIDO2 su dizajnirani da se odupru phishing napadima i hakovanju sesije korišćenjem kriptografskih ključeva generisanih i povezanih sa pametnim telefonima i računarima u cilju verifikacije korisnika za razliku od lozinke koja se može lako ukrasti.

Međutim, jedno novo istraživanje je otkrilo da bi napadač mogao da zaobiđe FIDO2 tako što će izvesti napad “napadač u sredini” (MitM) koji može da otme korisničke sesije u aplikacijama koje koriste rešenja za jednokratnu prijavu (SSO) kao što je Microsoft Entra ID, PingFederate i Yubico.

„Uspešan MitM napad otkriva ceo sadržaj zahteva i odgovora u procesu autentifikacije“, rekao je istraživač bezbednosti Dor Segal. „Kada se završi, napadač može da preuzme generisani kolačić stanja i da otme sesiju od žrtve. Jednostavno rečeno, nema validacije nakon što se autentifikacija završi.“

Napad je moguć zahvaljujući činjenici da većina aplikacija ne štiti tokene sesije kreirane nakon uspešne autentifikacije, što omogućava hakeru da dobije neovlašćeni pristup.

Štaviše, na uređaju koji je zahtevao sesiju ne vrši se validacija, što znači da svaki uređaj može da koristi kolačić dok ne istekne. Ovo omogućava da se zaobiđe korak autentifikacije preuzimanjem kolačića putem MitM napada.

Da bi se to sprečilo, savetuje se korišćenje tehnike token binding, koja omogućava aplikacijama i servisima da kriptografski vežu svoje bezbednosne tokene za Transport Layer Security (TLS). Iako je ova tehnika trenutno ograničena na Microsoft Edge, Google je prošlog meseca najavio novu funkciju u Chromeu pod nazivom Device Bound Session Credentials (DBSC) koja bi trebalo da zaštititi korisnike od krađe kolačića sesije i napada.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google omogućio deljenje lozinki sa članovima porodice

Google omogućio deljenje lozinki sa članovima porodice

Google je ranije ove godine najavio da deljenje lozinki dolazi u Google menadžer lozinki, a sada je ova funkcija najzad dostupna korisnicima. Googleo... Dalje

Velika Britanija razmatra uvođenje dozvola za plaćanje otkupa za žrtve napada ransomwarea

Velika Britanija razmatra uvođenje dozvola za plaćanje otkupa za žrtve napada ransomwarea

Velika Britanija razmatra da promeni način na koji zemlja reaguje na napade ransomwarea tako što će od svih žrtava zahtevati da incidente prijave... Dalje

Mastercard najavio da će primenjivati generativnu veštačku inteligenciju za brže otkrivanja prevara

Mastercard najavio da će primenjivati generativnu veštačku inteligenciju za brže otkrivanja prevara

Mastercard je najavio da će primenjivati generativnu AI tehnologiju kako bi poboljšao otkrivanje prevara. Kompanija je rekla da veštačka inteligen... Dalje

YouTube postao leglo prevara

YouTube postao leglo prevara

Prevare koje se oslanjaju na socijalni inženjering odnosno manipulaciju ljudima i njihovu naivnost i neopreznost predstavljaju većinu sajber pretnj... Dalje

Policija ponovo zatvorila zloglasni hakerski sajt BreachForums

Policija ponovo zatvorila zloglasni hakerski sajt BreachForums

Policija je po drugi put za godinu dana preuzela kontolu nad zloglasnom platformom BreachForums, koja je poznata pre svega po prodaji ukradenih podata... Dalje