Google heeft een update uitgebracht van zijn populaire authenticator-app die een “eenmalige code” opslaat in cloudopslag, waardoor gebruikers die een apparaat zijn kwijtgeraakt samen met hun authenticator toegang kunnen behouden tot tweefactorauthenticatie (2FA).
In blog 24 april mail Bij de aankondiging van de update zei Google dat de tokens voor eenmalig gebruik zullen worden opgeslagen in het Google-account van de gebruiker, waarbij wordt beweerd dat gebruikers “beter worden beschermd tegen buitensluiting” en dat het “gemak en veiligheid” zal vergroten.
Op 26 april Reddit mail Op het r/Cryptocurrency-forum schreef Redditor u/pojut dat hoewel de update degenen die het apparaat verliezen helpt door hun authenticator erop toe te passen, het hen ook kwetsbaarder maakt voor hackers.
Door het te beveiligen in de cloudopslag die is gekoppeld aan het Google-account van de gebruiker, betekent dit dat iedereen die toegang krijgt tot het Google-wachtwoord van de gebruiker, volledige toegang heeft tot hun apps die zijn gekoppeld aan de authenticator.
De gebruiker suggereerde dat een mogelijke manier om het SMS 2FA-probleem te omzeilen, is om een oude telefoon te gebruiken die uitsluitend wordt gebruikt om uw authenticatietoepassing te huisvesten.
Ik zou ook sterk aanraden om, indien mogelijk, een apart apparaat te hebben (misschien een oude telefoon of oude tablet) waarvan het enige doel in het leven is om te worden gebruikt voor je authenticatie-app naar keuze. Bewaar er niets anders op, gebruik het voor iets als laatste “.
Evenzo cyberbeveiligingsontwikkelaars gevangen nam naar Twitteren Om te waarschuwen voor de extra complexiteit die gepaard gaat met de cloudgebaseerde oplossing van Google voor 2FA.
Dit kan een grote zorg zijn voor gebruikers die Google Authenticator voor 2FA gebruiken om in te loggen op crypto-uitwisselingsaccounts en andere financiële diensten.
Andere 2FA-beveiligingsproblemen
De meest voorkomende 2FA-hack is een vorm van identiteitsfraude die bekend staat als een “SIM-swap”, waarbij oplichters controle krijgen over een telefoonnummer door de telecomprovider te misleiden om het nummer aan hun simkaart te koppelen.
Een recent voorbeeld hiervan is te zien in een rechtszaak die is aangespannen tegen de in de VS gevestigde cryptocurrency-uitwisseling Coinbase, waar een klant beweerde dat hij “90% van zijn spaargeld” verloor nadat hij het slachtoffer was geworden van een dergelijke aanval.
Met name stimuleert Coinbase zelf het gebruik van authenticator-apps voor 2FA in plaats van SMS, een beschrijving SMS 2FA is de “minst veilige” vorm van authenticatie.
Verwant: Het Office of Foreign Assets Control legt sancties op aan OTC-handelaren die cryptocurrencies hebben overgedragen aan de Lazarus Group in Noord-Korea
Op Reddit bespraken gebruikers de rechtszaak en stelden voor om SMS 2FA te verbieden, hoewel een Reddit-gebruiker opmerkte dat dit momenteel de enige authenticatieoptie is die beschikbaar is voor een aantal fintech- en cryptogerelateerde diensten:
“Helaas bieden nog niet veel van de diensten die ik gebruik Authenticator 2FA aan. Maar ik denk absoluut dat de sms-aanpak onveilig is gebleken en verboden moet worden.”
Blockchain-beveiligingsbedrijf CertiK heeft gewaarschuwd voor de gevaren van het gebruik van SMS 2FA, waarbij beveiligingsexpert Jesse Leclere Cointelegraph vertelde dat “SMS 2FA beter is dan niets, maar het is momenteel de meest gebruikte vorm van 2FA.”
tijdschrift: 4 van de 10 nep-NFT-verkopen: leer tekenen van witwassen herkennen
“Subtiel charmante tv-maven. Unapologetische communicator. Onruststoker. Reiswetenschapper. Wannabe-denker. Muziekfanaat. Amateur-ontdekkingsreiziger.”