Gli amministratori di Google possono fidarsi di Google Authenticator? [duplicare]

Question

Gli amministratori di Google possono fidarsi di Google Authenticator? [duplicare]

#1 da (0 voti)

1

Supponiamo che ci sia un malvagio amministratore di Google che ha accesso completo a tutti i server o alla rete di Google. Una persona di questo tipo potrebbe abusare della tecnologia Google Authenticator per accedere a servizi non Google che utilizzano la tecnologia Google Authenticator per l'accesso?

In altre parole: Supponiamo che io abbia configurato Google Authenticator per il sito web A della società A che non ospita alcun servizio Google. Tuttavia, scelgo di utilizzare il meccanismo di autorizzazione di Google Authenticator per "migliorare" la mia sicurezza. Will mr. L'amministratore di Google (che presumibilmente ha la capacità di monitorare tutte le comunicazioni tramite Google Authenticator e / o può manipolare i token / chiavi del servizio a proprio vantaggio) ha lo stesso tipo di accesso per accedere al mio account sul sito web A?

authentication passwords google authorization

posta Koning 19.02.2015 - 05:40

fonte

1 risposta

Leggi altre domande sui tag authentication passwords google authorization

La generazione di un token di autenticazione personalizzato per richieste di servizi WCF è una buona pratica? Memorizza in modo sicuro la chiave della password one-time a 2 zampe

score 0 · Accepted Answer

Qualcuno con accesso illimitato ai sistemi di Google e intenzioni malevole potrebbe compromettere gli account non Google tramite Google Authenticator? No.

Potrebbero compromettere gli account non di Google tramite molti altri servizi Google che probabilmente useranno anche qualcuno che utilizza l'autenticatore di Google? Probabilmente.

In primo luogo, l'autenticatore di Google viene utilizzato per implementare l'autenticazione multi . Il punto principale di questo è che se un metodo di autenticazione viene compromesso, l'altro metodo di autenticazione dovrebbe impedire all'utente malintenzionato di ottenere l'accesso. Inoltre, questi metodi di autenticazione sono in genere progettati per essere isolati, quindi qualcuno che è in grado di compromettere qualcosa che conosci (ad esempio una password) non dovrebbe essere in grado di compromettere qualcosa che hai (ad esempio un dispositivo fisico) allo stesso tempo. Anche se l'autenticatore di Google fosse stato compromesso, un utente malintenzionato non avrebbe necessariamente anche la password.

In secondo luogo, l'autenticatore di Google implementa TOTP . Il segreto viene comunicato solo tra il servizio che richiede l'autenticazione e il dispositivo, quindi, a meno che Google non sia il servizio, non è necessario che il segreto venga comunicato a Google.

Ora ovviamente l'ipotesi che il segreto non sarà comunicato a Google dipende dall'integrità del cliente. È possibile che l'app installata sia stata compromessa per acquisire il segreto e inviarlo all'attaccante. Google Authenticator è open source , quindi potresti teoricamente verificare che il codice faccia ciò che dovrebbe quindi compilare tu stesso. In realtà se un utente malintenzionato ha la possibilità di compromettere arbitrariamente il software sul tuo dispositivo, probabilmente potrebbe compromettere qualsiasi forma di 2FA che coinvolge il dispositivo (ad esempio SMS) e Google Authenticator non rappresenta un ulteriore rischio.

A parte questo, se qualcuno di Google volesse attaccarti ci sono probabilmente strade più efficaci che non coinvolgono Google Authenticator. Ad esempio, dato che il Play Store su un dispositivo Android è firmato dallo stesso certificato del sistema, può accedere alle autorizzazioni per installare il software senza il tuo esplicito permesso. Se hai utilizzato Gmail, potrebbero anche molto probabilmente accedere ad account non Google reimpostando le password.

TLDR; Un utente malintenzionato con accesso illimitato ai sistemi di Google rappresenterebbe quasi certamente una minaccia per gli account non Google, ma non a causa di Authenticator.