Google, bulut depolama alanında “tek seferlik bir kod” depolayan popüler kimlik doğrulayıcı uygulaması için bir güncelleme yayınladı ve bu, üzerinde kimlik doğrulayıcısı bulunan cihazı kaybeden kullanıcıların iki faktörlü kimlik doğrulamaya (2FA) erişmeye devam etmelerine olanak tanıyor.
24 Nisan tarihli bir blogda postalamak Güncellemeyi duyuran Google, tek seferlik kodların bir kullanıcının Google Hesabında saklanacağını söyleyerek, kullanıcıların “kilitlenmeye karşı daha iyi korunacağını” ve bunun “kolaylık ve güvenliği” artıracağını iddia etti.
26 Nisan Reddit’inde postalamak Redditor u/pojut, r/Cryptocurrency forumunda, güncellemenin kimlik doğrulayıcı uygulaması bulunan cihazı kaybedenlere yardımcı olurken, aynı zamanda onları bilgisayar korsanlarına karşı daha savunmasız hale getirdiğini yazdı.
Bunu, kullanıcının Google hesabıyla ilişkili bulut depolama alanında güvenceye almak, kullanıcının Google şifresine erişebilen herkesin daha sonra kimlik doğrulayıcı bağlantılı uygulamalarına tam erişim elde edeceği anlamına gelir.
Kullanıcı, SMS 2FA sorununu aşmanın olası bir yolunun, yalnızca kimlik doğrulayıcı uygulamanızı barındırmak için kullanılan eski bir telefon kullanmak olduğunu öne sürdü.
“Ayrıca, mümkünse, hayattaki tek amacı, seçtiğiniz kimlik doğrulama uygulaması için kullanılacak ayrı bir cihaza (belki eski bir telefon veya eski bir tablet) sahip olmanızı şiddetle tavsiye ederim. Üzerinde başka hiçbir şey bulundurmayın ve başka hiçbir şey için kullanmayın.”
Benzer şekilde, siber güvenlik geliştiricileri Misk aldı twitter Google’ın 2FA’ya yönelik bulut depolama tabanlı çözümüyle birlikte gelen ek komplikasyonlar konusunda uyarmak için.
Google, 2FA Authenticator uygulamasını yeni güncelledi ve çok ihtiyaç duyulan bir özelliği ekledi: cihazlar arasında sırları senkronize etme yeteneği.
TL;DR: Açmayın.
Yeni güncelleme, kullanıcıların Google Hesaplarıyla oturum açmasına ve 2FA sırlarını iOS ve Android cihazlarında senkronize etmesine olanak tanır.… pic.twitter.com/a8hhelupZR
— misk (@mysk_co) 26 Nisan 2023
Bu, kripto değişim hesaplarına ve finansla ilgili diğer hizmetlere giriş yapmak için Google Authenticator for 2FA kullanan kullanıcılar için önemli bir endişe kaynağı olabilir.
En yaygın 2FA saldırısı, dolandırıcıların telekomünikasyon sağlayıcısını numarayı kendi SIM kartlarına bağlaması için kandırarak bir telefon numarasının kontrolünü ele geçirdikleri “SIM takası” olarak bilinen bir kimlik sahtekarlığı türüdür.
Bunun yakın tarihli bir örneği şu olabilir: aleyhine açılan davada görüldü. Amerika Birleşik Devletleri merkezli kripto para borsası Coinbase, bir müşterinin böyle bir saldırıya kurban gittikten sonra “hayatındaki birikimlerinin %90’ını” kaybettiğini iddia etti.
Coinbase, SMS yerine 2FA için kimlik doğrulama uygulamalarının kullanılmasını teşvik ediyor. açıklayan “En az güvenli” kimlik doğrulama biçimi olarak SMS 2FA.
Sanırım şifresi diğer sitelerde kullanıldığı için ele geçirildi ve bunlardan biri ihlal edildi. Ayrıca Coinbase, Authenticator uygulamasını 2FA için “güvenli” ve SMS’i “orta derecede güvenli” olarak etiketleyerek teşvik eder.
Dave Ferguson (@_sc0rn) 7 Mart 2023
Reddit’te kullanıcılar davayı görüştü ve hatta SMS 2FA’nın yasaklanmasını önerdi, ancak bir Reddit kullanıcısı bunun şu anda bir dizi fintech ve kripto para birimi ile ilgili hizmet için mevcut olan tek kimlik doğrulama seçeneği olduğunu belirtti:
“Ne yazık ki kullandığım birçok hizmet henüz Authenticator 2FA sunmuyor. Ancak kesinlikle SMS yaklaşımının güvensiz olduğunun kanıtlandığını ve yasaklanması gerektiğini düşünüyorum.”
Blockchain güvenlik firması CertiK uyardı SMS kullanmanın zararları 2FA, güvenlik uzmanı Jesse Leclere Cointelegraph’a “SMS 2FA hiç yoktan iyidir, ancak şu anda kullanımda olan 2FA’nın en savunmasız biçimidir” dedi.
dergi: 10 NFT satışından 4’ü sahte: Wash trading belirtilerini tespit etmeyi öğrenin