Google hat ein Update für seine beliebte Authentifikator-App veröffentlicht, die einen „Einmalcode“ im Cloud-Speicher speichert, sodass Benutzer, die das Gerät mit ihrem Authentifikator darauf verloren haben, den Zugriff auf ihre Zwei-Faktor-Authentifizierung (2FA) behalten können.
In einem Blog vom 24. April Post Bei der Ankündigung des Updates sagte Google, dass die einmaligen Codes im Google-Konto eines Benutzers gespeichert werden, und behauptete, dass Benutzer „besser vor Sperrungen geschützt“ seien und dies „Bequemlichkeit und Sicherheit“ erhöhen würde.
In einem Reddit vom 26 Post Im r/Cryptocurrency-Forum schrieb Redditor u/pojut, dass das Update zwar diejenigen unterstützt, die das Gerät mit ihrer Authentifizierungs-App darauf verlieren, es sie aber auch anfälliger für Hacker macht.
Durch die Sicherung in einem Cloud-Speicher, der mit dem Google-Konto des Benutzers verknüpft ist, bedeutet dies, dass jeder, der Zugriff auf das Google-Passwort des Benutzers erhalten kann, anschließend vollen Zugriff auf seine mit dem Authentifikator verknüpften Apps erhält.
Der Benutzer schlug vor, dass ein möglicher Weg, um das SMS 2FA-Problem zu umgehen, darin besteht, ein altes Telefon zu verwenden, das ausschließlich zur Unterbringung Ihrer Authentifizierungs-App verwendet wird.
„Ich würde auch dringend empfehlen, dass Sie nach Möglichkeit ein separates Gerät (vielleicht ein altes Telefon oder ein altes Tablet) haben, dessen einziger Lebenszweck darin besteht, für die Authentifizierungs-App Ihrer Wahl verwendet zu werden. Behalte nichts anderes darauf und verwende es für nichts anderes.“
Ebenso Cybersecurity-Entwickler Mysk nahm zu Twitter um vor zusätzlichen Komplikationen zu warnen, die mit Googles cloudspeicherbasierter Lösung für 2FA einhergehen.
Google hat gerade seine 2FA Authenticator-App aktualisiert und eine dringend benötigte Funktion hinzugefügt: die Möglichkeit, Geheimnisse geräteübergreifend zu synchronisieren.
TL;DR: Nicht einschalten.
Das neue Update ermöglicht es Benutzern, sich mit ihrem Google-Konto anzumelden und 2FA-Secrets auf ihren iOS- und Android-Geräten zu synchronisieren.… pic.twitter.com/a8hhelupZR
— Mysk (@mysk_co) 26. April 2023
Dies könnte sich als erhebliches Problem für Benutzer erweisen, die Google Authenticator für 2FA verwenden, um sich bei ihren Krypto-Exchange-Konten und anderen finanzbezogenen Diensten anzumelden.
Andere 2FA-Sicherheitsprobleme
Der häufigste 2FA-Hack ist eine Art Identitätsbetrug, bekannt als „SIM-Swapping“, bei dem Betrüger die Kontrolle über eine Telefonnummer erlangen, indem sie den Telekommunikationsanbieter dazu verleiten, die Nummer mit ihrer eigenen SIM-Karte zu verknüpfen.
Ein aktuelles Beispiel dafür ist in einer Klage gegen die in den USA ansässige Kryptowährungsbörse Coinbase zu sehen, in der ein Kunde behauptete, „90 % seiner Lebensersparnisse“ verloren zu haben, nachdem er Opfer eines solchen Angriffs geworden war.
Insbesondere fördert Coinbase selbst die Verwendung von Authenticator-Apps für 2FA im Gegensatz zu SMS, beschreiben SMS 2FA als die „unsicherste“ Form der Authentifizierung.
Ich schätze, sein Passwort wurde kompromittiert, weil es auf anderen Seiten verwendet wurde, von denen eine gehackt wurde. Außerdem fördert Coinbase die Authenticator-App für 2FA, indem sie sie als „sicher“ und SMS als „mäßig sicher“ bezeichnet.
– Dave Ferguson (@_sc0rn) 7. März 2023
Verwandt: OFAC sanktioniert OTC-Händler, die Krypto für die nordkoreanische Lazarus-Gruppe umgewandelt haben
Auf Reddit diskutierten Benutzer die Klage und schlugen sogar vor, SMS 2FA zu verbieten, obwohl ein Reddit-Benutzer feststellte, dass dies derzeit die einzige Authentifizierungsoption ist, die für eine Reihe von Fintech- und Kryptowährungs-bezogenen Diensten verfügbar ist:
„Leider bieten viele Dienste, die ich nutze, Authenticator 2FA noch nicht an. Aber ich bin definitiv der Meinung, dass sich der SMS-Ansatz als unsicher erwiesen hat und verboten werden sollte.“
Das Blockchain-Sicherheitsunternehmen CertiK hat vor den Gefahren der Verwendung von SMS 2FA gewarnt, und sein Sicherheitsexperte Jesse Leclere sagte gegenüber Cointelegraph: „SMS 2FA ist besser als nichts, aber es ist die anfälligste Form von 2FA, die derzeit verwendet wird.“
Zeitschrift: 4 von 10 NFT-Verkäufen sind gefälscht: Lernen Sie, die Zeichen des Waschhandels zu erkennen