Google hat kürzlich das angekündigt Vereinfachung des Freigabeprozesses desZwei-Faktor-Authentifizierung (2FA) für Benutzer mit persönliche Konten und Arbeitsbereich.
Es ist auch als 2-Step Verification (2SV) bekannt und zielt darauf ab, eine neue Sicherheitsstufe einzuführen, die den Benutzerkonten hinzugefügt wird Verhindern Sie Übernahmeangriffe im Falle eines Passwortdiebstahls.
“Das Kürzliche Google hat die Einrichtung der Zwei-Faktor-Authentifizierung verbessert“, kommentiert er Fabrizio VaccaMSS Operations Director Tinexta Cyber, „sowohl für Privat- als auch Unternehmenskonten stellt die Einführung zusätzlicher Authentifizierungsmethoden wie Authentifizierungs-Apps und Hardware-Sicherheitsschlüssel eine große Herausforderung dar.“ bedeutender Schritt zur Vereinfachung und Stärkung Benutzersicherheit“.
Aber hier sind sie Kritische Fragen bleiben offenim Falle von Adversay-in-The-Middle-Angriffe. Und wie man sich verteidigt.
Google macht es einfach, die Zwei-Faktor-Authentifizierung einzurichten: So funktioniert es
Die neue Änderung sieht tatsächlich eine zweite Methode vor, wie zAuthentifizierungs-App oder einen Hardware-Sicherheitsschlüsselbevor Sie 2FA aktivieren, wodurch die Verwendung der bekanntermaßen am wenigsten sicheren SMS-Authentifizierung überflüssig wird.
„Dies ist besonders nützlich für Organisationen, die Folgendes verwenden Google Authenticator (oder andere gleichwertige Anwendungen zeitgesteuerter Einmalpasswörter – TOTP)“, sagte das Unternehmen. „Bisher mussten Benutzer 2SV mit einer Telefonnummer aktivieren, bevor sie Authenticator hinzufügen konnten.“
Benutzer, die über Hardware-Sicherheitsschlüssel verfügen zwei Möglichkeiten, sie zu ihren Konten hinzuzufügen: Aufnahme a FIDO1-Anmeldeinformationen auf dem Hardwareschlüssel bzw. der Belegung eines solchen Hauptschlüssel (also eins FIDO2-Anmeldeinformationen) zu einem von ihnen.
Die Suchmaschine weist darauf hin, dass es sich um Konten handelt Arbeitsplatz Möglicherweise werden Sie weiterhin aufgefordert, Ihr Passwort zusammen mit Ihrem Zugangsschlüssel einzugeben, wenn die Verwaltungsrichtlinie „Benutzern erlauben, Passwörter bei der Anmeldung mithilfe von Zugangsschlüsseln zu überspringen“ deaktiviert ist.
Aber in einem weiteren bemerkenswerten Update werden Benutzer, die 2FA in ihren Kontoeinstellungen deaktivieren, ihre registrierten zweiten Schritte nicht mehr automatisch entfernt.
„Wenn ein Administrator 2SV für einen Benutzer über die Admin-Konsole oder über das Admin SDK deaktiviert, erfolgt die Entfernung zweiter Faktoren wie zuvor, um sicherzustellen, dass die Offboarding-Workflows der Benutzer nicht beeinträchtigt werden“, sagte er.
Neue Kritikalität im Falle eines Man-in-the-Middle-Angriffs
Über 400 Millionen Google-Konten haben im letzten Jahr damit begonnen, Passkeys zum Einchecken zu verwendenAuthentifizierung ohne Passwort.
Neue Authentifizierungsmethoden und -standards wie FIDO2 sind Entwickelt, um Phishing- und Session-Hijacking-Angriffen vom Design her zu widerstehenDabei werden die generierten und mit Smartphones und Computern verbundenen kryptografischen Schlüssel zur Benutzerverifizierung genutzt. Im Gegensatz zu einem Passwort, das leicht über Credential-Harvesting-Malware oder direkt gestohlen werden kann.
„Dieser strategische Schritt verringert nicht nur die Risiken, die mit einer weniger sicheren SMS-basierten Authentifizierung einhergehen, sondern steht auch im Einklang mit breiteren Branchentrends hin zu robusteren passwortlosen Optionen“, erklärt er Fabrizio Vacca.
„Trotzdem“, warnt er Fabrizio Vacca„,“Trotz dieser Fortschritte gibt es aktuelle Forschungsergebnisse zu den Bedrohungen durch Adversay-in-The-Middle Markieren die anhaltenden Herausforderungen beim Schutz digitaler Identitäten cgegen ausgefeilte Cyber-Bedrohungen“.
Tatsächlich zeigen das neue Untersuchungen von Silverfort Ein Cyberbedrohungsakteur könnte FIDO2 umgehen und einen Adversary-in-the-Middle-Angriff (AitM) durchführen in der Lage, Benutzersitzungen zu kapern in Anwendungen, die Single-Sign-On-Lösungen (SSO) verwenden wie Microsoft Login ID, PingFederate und Yubico.
„Ein erfolgreicher MitM-Angriff legt den gesamten Inhalt der Anfragen und Antworten des Authentifizierungsprozesses offen“, sagte Sicherheitsforscher Dor Segal: „Nach Abschluss Der Angreifer kann das generierte Status-Cookie abfangen und die Sitzung des Opfers kapern. Vereinfacht ausgedrückt gibt es keine Validierung durch die Anwendung, nachdem die Authentifizierung abgeschlossen ist.“
Die Details
Der Angriff wird dadurch ermöglicht Die meisten Anwendungen schützen Sitzungstoken, die nach erfolgreicher Authentifizierung erstellt wurden, nichtwodurch es einem Angreifer ermöglicht wird sich unbefugten Zugriff verschaffen.
Darüber hinaus wird auf dem Gerät, das die Sitzung angefordert hat, keine Validierung durchgeführt Jedes Gerät kann das Cookie verwenden, bis es abläuft. Dadurch ist es möglich, die Authentifizierungsphase zu umgehen, indem das Cookie über einen AitM-Angriff erworben wird.
So schützen Sie sich
Um sicherzustellen, dass die authentifizierte Sitzung ausschließlich vom Client verwendet wirdempfehlen wir die Übernahme Technik, die als Token-Bindung bekannt ist, Dadurch können Anwendungen und Dienste ihre Sicherheitstoken kryptografisch auf der Transport Layer Security (TLS)-Protokollebene binden.
Während Die Tokenbindung ist derzeit auf Microsoft Edge beschränktLetzten Monat kündigte Google eine neue Funktion in Chrome namens an Anmeldeinformationen für gerätegebundene Sitzungen (DBSC) helfen Schützen Sie Benutzer vor Session-Cookie-Diebstahl und Hijacking-Angriffen.
