В понедельник Google объявила, что упрощает процесс включения двухфакторной аутентификации (2FA) для пользователей с учетными записями personal и Workspace.
Также называемая двухэтапной проверкой (2SV), она направлена на добавление дополнительного уровня безопасности к учетным записям пользователей для предотвращения атак с целью захвата в случае кражи паролей.
Новое изменение предполагает добавление метода второго шага, такого как приложение аутентификации или аппаратный ключ безопасности, перед включением 2FA, что устраняет необходимость в использовании менее безопасной аутентификации на основе SMS.
"Это особенно полезно для организаций, использующих Google Authenticator (или другие эквивалентные приложения для ввода одноразовых паролей (TOTP) на основе времени)", - сказали в компании. "Раньше пользователям приходилось включать 2SV с номером телефона, прежде чем они могли добавить средство аутентификации".
У пользователей с аппаратными ключами безопасности есть два варианта добавления их в свои учетные записи, в том числе путем регистрации учетных данных FIDO1 в аппаратном ключе или путем назначения ключа доступа (т. е. Учетных данных FIDO2) одному из них.
Google отмечает, что от учетных записей Workspace по-прежнему может потребоваться вводить пароли вместе с ключом доступа, если политика администратора "Разрешать пользователям пропускать пароли при входе с помощью ключей доступа" отключена.
В другом примечательном обновлении пользователи, которые решили отключить 2FA в настройках своей учетной записи, больше не будут автоматически удалять зарегистрированные вторые шаги.
"Когда администратор отключает 2SV для пользователя из консоли администратора или через Admin SDK, вторые факторы будут удалены, как и раньше, чтобы гарантировать, что рабочие процессы, связанные с удалением пользователя, останутся неизменными", - сказали в Google.
Разработка происходит после того, как поисковый гигант заявил, что за последний год более 400 миллионов учетных записей Google начали использовать ключи доступа для аутентификации без пароля.
Современные методы и стандарты аутентификации, такие как FIDO2, предназначены для противодействия атакам фишинга и перехвата сеанса, используя криптографические ключи, генерируемые смартфонами и компьютерами и привязанные к ним, для проверки пользователей, а не пароль, который можно легко украсть с помощью сбора учетных данных или вредоносного ПО stealer.
Однако новое исследование Silverfort показало, что злоумышленник может обойти FIDO2, организовав атаку "злоумышленник посередине" (AitM), которая может перехватывать сеансы пользователей в приложениях, использующих решения единого входа (SSO), такие как Microsoft Entra ID, PingFederate и Yubico.
"Успешная MitM-атака раскрывает весь контент запроса и ответа процесса аутентификации", - сказал исследователь безопасности Дор Сигал.
"Когда она заканчивается, злоумышленник может получить сгенерированный файл cookie состояния и перехватить сеанс у жертвы. Проще говоря, после завершения аутентификации приложение не выполняет проверку подлинности".
Атака стала возможной из-за того, что большинство приложений не защищают токены сеанса, созданные после успешной аутентификации, что позволяет злоумышленнику получить несанкционированный доступ.
Более того, на устройстве, запросившем сеанс, проверка подлинности не выполняется, что означает, что любое устройство может использовать файл cookie до истечения срока его действия. Это позволяет обойти этап аутентификации, получив файл cookie с помощью AitM-атаки.
Чтобы гарантировать, что аутентифицированный сеанс используется исключительно клиентом, рекомендуется использовать метод, известный как привязка токена, который позволяет приложениям и службам криптографически привязывать свои токены безопасности к уровню протокола безопасности транспортного уровня (TLS).
Хотя привязка токена ограничена Microsoft Edge, Google в прошлом месяце анонсировала новую функцию в Chrome под названием "Учетные данные сеанса с привязкой к устройству" (DBSC), которая поможет защитить пользователей от кражи файлов cookie сеанса и атак с перехватом.
Также называемая двухэтапной проверкой (2SV), она направлена на добавление дополнительного уровня безопасности к учетным записям пользователей для предотвращения атак с целью захвата в случае кражи паролей.
Новое изменение предполагает добавление метода второго шага, такого как приложение аутентификации или аппаратный ключ безопасности, перед включением 2FA, что устраняет необходимость в использовании менее безопасной аутентификации на основе SMS.
"Это особенно полезно для организаций, использующих Google Authenticator (или другие эквивалентные приложения для ввода одноразовых паролей (TOTP) на основе времени)", - сказали в компании. "Раньше пользователям приходилось включать 2SV с номером телефона, прежде чем они могли добавить средство аутентификации".
У пользователей с аппаратными ключами безопасности есть два варианта добавления их в свои учетные записи, в том числе путем регистрации учетных данных FIDO1 в аппаратном ключе или путем назначения ключа доступа (т. е. Учетных данных FIDO2) одному из них.
Google отмечает, что от учетных записей Workspace по-прежнему может потребоваться вводить пароли вместе с ключом доступа, если политика администратора "Разрешать пользователям пропускать пароли при входе с помощью ключей доступа" отключена.
В другом примечательном обновлении пользователи, которые решили отключить 2FA в настройках своей учетной записи, больше не будут автоматически удалять зарегистрированные вторые шаги.
"Когда администратор отключает 2SV для пользователя из консоли администратора или через Admin SDK, вторые факторы будут удалены, как и раньше, чтобы гарантировать, что рабочие процессы, связанные с удалением пользователя, останутся неизменными", - сказали в Google.
Разработка происходит после того, как поисковый гигант заявил, что за последний год более 400 миллионов учетных записей Google начали использовать ключи доступа для аутентификации без пароля.
Современные методы и стандарты аутентификации, такие как FIDO2, предназначены для противодействия атакам фишинга и перехвата сеанса, используя криптографические ключи, генерируемые смартфонами и компьютерами и привязанные к ним, для проверки пользователей, а не пароль, который можно легко украсть с помощью сбора учетных данных или вредоносного ПО stealer.
Однако новое исследование Silverfort показало, что злоумышленник может обойти FIDO2, организовав атаку "злоумышленник посередине" (AitM), которая может перехватывать сеансы пользователей в приложениях, использующих решения единого входа (SSO), такие как Microsoft Entra ID, PingFederate и Yubico.
"Успешная MitM-атака раскрывает весь контент запроса и ответа процесса аутентификации", - сказал исследователь безопасности Дор Сигал.
"Когда она заканчивается, злоумышленник может получить сгенерированный файл cookie состояния и перехватить сеанс у жертвы. Проще говоря, после завершения аутентификации приложение не выполняет проверку подлинности".
Атака стала возможной из-за того, что большинство приложений не защищают токены сеанса, созданные после успешной аутентификации, что позволяет злоумышленнику получить несанкционированный доступ.
Более того, на устройстве, запросившем сеанс, проверка подлинности не выполняется, что означает, что любое устройство может использовать файл cookie до истечения срока его действия. Это позволяет обойти этап аутентификации, получив файл cookie с помощью AitM-атаки.
Чтобы гарантировать, что аутентифицированный сеанс используется исключительно клиентом, рекомендуется использовать метод, известный как привязка токена, который позволяет приложениям и службам криптографически привязывать свои токены безопасности к уровню протокола безопасности транспортного уровня (TLS).
Хотя привязка токена ограничена Microsoft Edge, Google в прошлом месяце анонсировала новую функцию в Chrome под названием "Учетные данные сеанса с привязкой к устройству" (DBSC), которая поможет защитить пользователей от кражи файлов cookie сеанса и атак с перехватом.
