Come proteggere l'account Google dal dirottamento e intercettazione della SIM Due codici fatture SMS lungo la strada e continuano a essere accessibili?

1

Come menzionato su molti posti sul web , le carte SIM sono una delle più deboli collegamento nel processo di Autenticazione a due fattori. I cattivi attori possono impersonare come utente di Telecom Company per ottenere la doppia SIM o semplicemente avere accesso all'infrastruttura di comunicazione (sponsorizzata o meno dal governo) per intercettare i codici unici inviati al nostro cellulare tramite SMS.

Nel mio account Google, ho una password strong e univoca e l'autenticazione a due fattori attivata, con le seguenti modalità:

  1. Prompt di Google
  2. App Authenticator (di proprietà di Google, codici QR sottoposti a backup)
  3. Codici di backup
  4. Codici SMS per i miei due numeri di cellulare (rimossi ora)
  5. Email di recupero

Quali potrebbero essere le cattive conseguenze per me per accedere / utilizzare / recuperare il mio account google, dato che ora ho rimosso entrambi i due numeri di cellulare da tutti i posti, al fine di salvaguardarmi da ogni possibile smarrimento di SMS?

Abbastanza simile , ma non correlato, che OP vuole SMS invece di Auth App

    
posta DavChana 14.02.2017 - 16:58
fonte

2 risposte

1

Non stai più utilizzando SMS, quindi gli SMS non possono essere dirottati. Se ti preoccupi per un accesso di ripristino, non dovresti preoccuparti.

Dici di avere codici di backup e hai persino il QR Code originale che in effetti contiene la chiave segreta non cifrata , che viene utilizzata per calcolare i valori TOTP in base a RFC 6238 . Tu (o l'attaccante) puoi prendere questo QR-Code in qualsiasi momento e creare una copia 1: 1 della applicazione per smartphone del dispositivo di autenticazione. Probabilmente mai ti bloccherai - se questo è ciò di cui ti preoccupi.

Quindi - sei al sicuro. Ma sei sicuro? Puoi leggere il mio post precedente del blog .

Puoi anche attivare U2F come @ parth-maniar dichiarato. Ma dovresti sapere che U2F utilizza un certificato di attestazione preinstallato con un numero di serie univoco. (Bene, questa è una caratteristica dei certificati x509). La coppia di chiavi che stai registrando con google è derivata dalla chiave privata che appartiene a questo certificato.

(Si prega di inserire il cappello di carta stagnola, ora)

Quindi un possibile vettore di attacco per un servizio di intelligence potrebbe essere simile a questo: il certificato di attestazione viene passato al servizio (Google) al momento della registrazione. Il servizio Intel potrebbe chiedere a Google il numero di serie del certificato . (che Google non darebbe a loro!). Quindi il servizio Intel potrebbe andare su Yubico e chiedere a Yubico la chiave privata appartenente al certificato con il tuo nubmer seriale. (che Yubico non ha e non vuole darglielo!) Ora il servizio Intel ha la tua chiave privata . Utilizzando questa chiave privata, l'utente malintenzionato può accedere immediatamente a tutti gli account in cui è stato registrato il dispositivo U2F. La cosa bella è che il servizio Intel può attaccare un "debole" fornitore di servizi, dove ti sei registrato per collegare il tuo nome al numero seriale. E poi possono effettuare il login semplice con il tuo account al fornitore di servizi "strong", che altrimenti non darebbe loro il tuo login oi tuoi dati. Imho U2F non è la salvezza che afferma di essere.

(lamina di metallo spenta) ; -)

Correzione il 25 febbraio 2017

(sfortunatamente il markdown non supporta l'eliminazione delle parole)

Ovviamente sono stato indotto in errore da qualche altro post sul blog e una specifica FIDO non era precisa sull'implementazione circa 3-4 anni fa. I dispositivi U2F contengono un certificato di attestazione, ma questi di solito non sono univoci per ogni dispositivo. Il certificato di attestazione serve solo a verificare il servizio, che si tratta di un dispositivo di un certo tipo. Se acquisti un gruppo di dispositivi U2F da un fornitore, probabilmente hanno tutti lo stesso certificato e ovviamente le chiavi corrispondenti. (Ho controllato io stesso in questi giorni)

Un altro cliente potrebbe probabilmente ottenere lo stesso certificato (e le chiavi) come te. Tuttavia, un fornitore potrebbe creare certificati di attestazione individuali per ogni chiave o per ogni cliente che acquista un gruppo di token. Tuttavia, un fornitore probabilmente modificherà il certificato di attestazione, se rilascerà una nuova versione del dispositivo. Questo perché il servizio dovrebbe ora, se un vecchio dispositivo tenta di registrarsi o un dispositivo più recente, perché potrebbe negare la registrazione del vecchio tipo di dispositivo.

Bene, devi ancora fidarti del fornitore per gestire correttamente il certificato di attestazione, poiché si tratta in realtà di informazioni che vengono inviate al servizio ogni , al momento della registrazione.

Il più noto venditore di dispositivi U2F utilizza quindi una chiave master aggiuntiva , che è vincolata al certificato di attestazione! La mia precedente affermazione era errata !

Quindi il servizio di intelligence in effetti solitamente può non identificare il proprio dispositivo in base al certificato di attestazione. L'IS dovrebbe contattare il fornitore in anticipo per chiedere loro di mettere certificati di attestazione individuali su di esso.

Mi dispiace per l'incomprensione o aver causato un grande panico! Intendi solo causare panico di media grandezza! ;-) ... o il modo normale di fare-non-cambiare-del-tuo-cervello-quando-qualcuno-sostiene-la-sua-soluzione-è-totalmente-sicuro.

    
risposta data 21.02.2017 - 00:06
fonte
2

Puoi consultare link per le tue esigenze 2FA. Significherebbe bypassare completamente il tuo telefono per 2FA.

    
risposta data 19.02.2017 - 05:21
fonte

Leggi altre domande sui tag