Dove può fallire il fattore 2 in Google?

4

Ero una delle persone che pensava che abilitare il fattore 2 in Apple avrebbe impedito il download di immagini da iCloud; mi è stato recentemente indicato che, di fatto, mi sono gravemente sbagliato. Il fattore 2 di Apple funziona solo in un sottoinsieme dei loro servizi e quindi il loro fattore 2 fornisce un falso senso di sicurezza (a questo punto potrebbero estendere i servizi a 2 punti di protezione).

Avevo pensato che l'implementazione fosse simile al fattore 2 di Google. Ci sono modi in cui l'implementazione di 2 fattori di Google viene ignorata in modo simile, dove ci sono servizi o circostanze che non verrebbero avvertiti se il mio account fosse accessibile da una macchina o dispositivo non nel mio controllo?

    
posta Bart Silverstrim 06.09.2014 - 20:05
fonte

2 risposte

3

Ecco alcuni scenari in cui l'implementazione 2FA di Google potrebbe essere compromessa:

  • Password specifiche per le app non richiedono 2FA anche se 2FA è abilitato sul account. Pertanto un'app dannosa a cui è stata fornita una password specifica per l'app può eseguire azioni a sua insaputa.

  • Su Android l'app Authenticator non contiene un lettore di codici QR interno, ma crea un Intento implicito e consente a qualsiasi app con un filtro Intent appropriato di ricevere l'intento. Questa app potrebbe essere dannosa o agire come un MITM per un lettore di codici QR legittimo.

  • 2FA non è completamente immune al phishing. Se un utente malintenzionato può convincerti a inserire sia la tua password che un pin 2FA valido, possono potenzialmente accedere, quindi creare una password specifica per l'app da utilizzare come porta sul retro.

  • Esiste un'opzione per ricevere codici 2FA tramite chiamata telefonica . La telefonata può potenzialmente andare alla posta vocale che è notoriamente insecure .

  • Un utente malintenzionato può utilizzare anche gli SMS ed è relativamente subdolo filtrare le autorizzazioni per accedere agli SMS degli utenti precedenti su Android in particolare.

risposta data 07.09.2014 - 02:53
fonte
0

L'autenticazione a 2 fattori di Google richiede una password e un metodo alternativo di verifica, ad esempio una telefonata o un messaggio di testo. Una password compromessa è il problema standard. Questa è la ragione per la verifica a due fattori. Quindi, supponendo che la tua password sia stata compromessa, concentrati sulla seconda parte: se qualcuno ti ha rubato il cellulare, allora i messaggi telefonici o una chiamata sarebbero stati compromessi.

Alcuni anni fa avevo un telefono che è stato clonato. Quello che è successo è che il telefono clonato ha ricevuto le stesse chiamate e i messaggi che il principale ha fatto.

Il furto di password è un potenziale problema se combinato con il furto di un telefono cellulare. Google informa queste persone durante l'iscrizione per la procedura.

La verifica a due fattori lo rende più difficile, ma non perfetto.

Controlla questo articolo per un rapporto di una persona in Australia che ha trovato molte cose su molteplici forme di problemi 2-Factor con molte aziende, tra cui Google. link

    
risposta data 07.09.2014 - 00:05
fonte

Leggi altre domande sui tag