Video: Zwei Faktor Authentifizierung - so sichert ihr eure Accounts! (Dezember 2024)
SAN FRANCISCO - Forscher konnten anwendungsspezifische Kennwörter verwenden, um die Zwei-Faktor-Authentifizierung von Google zu umgehen und die vollständige Kontrolle über das Google Mail-Konto eines Benutzers zu erlangen.
Die RSA-Sicherheitskonferenz 2013 beginnt ernsthaft morgen früh, aber viele der Konferenzteilnehmer waren bereits im Moscone Center in San Francisco, um Gespräche auf dem Cloud Security Alliance Summit und dem Trusted Computing Group Panel zu führen. Andere führten Gespräche mit anderen Teilnehmern über eine Vielzahl von sicherheitsrelevanten Themen. Der heutige Post von Duo Security darüber, wie Forscher einen Weg gefunden hatten, die Zwei-Faktor-Authentifizierung von Google zu umgehen, war heute Morgen ein allgemeines Thema.
Mit Google können Nutzer die Zwei-Faktor-Authentifizierung für ihr Google Mail-Konto aktivieren, um die Sicherheit zu erhöhen, und spezielle Zugriffstoken für Anwendungen generieren, die die Bestätigung in zwei Schritten nicht unterstützen. Die Forscher von Duo Security haben einen Weg gefunden, diese speziellen Token zu missbrauchen, um den Zwei-Faktoren-Prozess vollständig zu umgehen, schrieb Adam Goodman, Principal Security Engineer bei Duo Security. Duo Security hat Google über die Probleme informiert und das Unternehmen hat "einige Änderungen vorgenommen, um die schwerwiegendsten Bedrohungen abzumildern", schrieb Goodman.
"Wir glauben, es ist eine ziemlich bedeutende Lücke in einem starken Authentifizierungssystem, wenn ein Benutzer noch eine Form von 'Passwort' hat, die ausreicht, um die vollständige Kontrolle über sein Konto zu übernehmen", schrieb Goodman.
Er sagte jedoch auch, dass die Zwei-Faktor-Authentifizierung selbst bei diesem Fehler "eindeutig besser" sei, als sich nur auf eine normale Kombination aus Benutzername und Passwort zu verlassen.
Das Problem mit ASPs
Die Zwei-Faktor-Authentifizierung ist ein guter Weg, um Benutzerkonten zu sichern, da Sie etwas wissen müssen (das Passwort) und etwas, das Sie haben (ein mobiles Gerät, um den speziellen Code zu erhalten). Nutzer, die in ihren Google-Konten Two-Factor aktiviert haben, müssen ihre normalen Anmeldeinformationen eingeben und anschließend das spezielle Einmalkennwort auf ihrem Mobilgerät anzeigen. Das spezielle Passwort kann von einer App auf dem Mobilgerät generiert oder per SMS gesendet werden und ist gerätespezifisch. Dies bedeutet, dass der Benutzer nicht jedes Mal, wenn er sich anmeldet, einen neuen Code generieren muss, sondern jedes Mal, wenn er sich von einem neuen Gerät aus anmeldet. Aus Sicherheitsgründen läuft der Authentifizierungscode jedoch alle 30 Tage ab.
Gute Idee und Implementierung, aber Google musste "ein paar Kompromisse" eingehen, z. B. anwendungsspezifische Kennwörter, damit Benutzer weiterhin Anwendungen verwenden können, die die Bestätigung in zwei Schritten nicht unterstützen, so Goodman. ASPs sind spezielle Token, die für jede Anwendung (daher der Name) generiert werden, die Benutzer anstelle der Kombination aus Kennwort und Token eingeben. Benutzer können ASPs für E-Mail-Clients wie Mozilla Thunderbird, Chat-Clients wie Pidgin und Kalenderanwendungen verwenden. Ältere Android-Versionen unterstützen auch keine zweistufigen Verbindungen, sodass Benutzer ASPs verwenden mussten, um sich bei älteren Telefonen und Tablets anzumelden. Benutzer können den Zugriff auf ihr Google-Konto auch widerrufen, indem sie den ASP dieser Anwendung deaktivieren.
Duo Security stellte schließlich fest, dass ASPs nicht anwendungsspezifisch sind und mehr können, als nur E-Mails über das IMAP-Protokoll oder Kalenderereignisse mit CalDev abzurufen. Dank der neuen Funktion "Automatische Anmeldung", die in den neuesten Android- und Chrome-Betriebssystemversionen eingeführt wurde, kann ein Code verwendet werden, um sich bei fast allen Web-Eigenschaften von Google anzumelden. Durch die automatische Anmeldung konnten Benutzer, die ihre Mobilgeräte oder Chromebooks mit ihren Google-Konten verknüpft haben, automatisch über das Web auf alle Google-bezogenen Seiten zugreifen, ohne dass jemals eine andere Anmeldeseite angezeigt wurde.
Mit diesem ASP kann jemand direkt zur Seite "Account-Wiederherstellung" wechseln und E-Mail-Adressen und Telefonnummern bearbeiten, an die Nachrichten zum Zurücksetzen des Passworts gesendet werden.
"Dies war genug für uns, um zu erkennen, dass ASPs einige überraschend schwerwiegende Sicherheitsbedrohungen darstellten", sagte Goodman.
Duo Security hat einen ASP abgefangen, indem Anforderungen analysiert wurden, die von einem Android-Gerät an Google-Server gesendet wurden. Während ein Phishing-Verfahren zum Abfangen von ASPs wahrscheinlich nur eine geringe Erfolgsquote aufweist, vermutet Duo Security, dass Malware zum Extrahieren von auf dem Gerät gespeicherten ASPs oder zum Abfangen von ASPs im Rahmen einer manuellen Überprüfung von SSL-Zertifikaten entwickelt werden könnte. der mittlere Angriff.
Während Googles Korrekturen die festgestellten Probleme beheben, "würden wir gerne sehen, dass Google Mittel implementiert, um die Berechtigungen einzelner ASPs weiter einzuschränken", schrieb Goodman.
Um alle Beiträge aus unserer RSA-Berichterstattung anzuzeigen, besuchen Sie unsere Seite Berichte anzeigen.
