Video: 3 Cara Mengaktifkan Autentikasi Dua-Faktor Instagram untuk Melindungi Akun (Desember 2024)
SAN FRANCISCO - Para peneliti dapat menggunakan kata sandi khusus aplikasi untuk mem-bypass otentikasi dua faktor Google dan mendapatkan kontrol penuh atas akun Gmail pengguna.
Konferensi Keamanan RSA 2013 dimulai besok pagi dengan sungguh-sungguh, tetapi banyak peserta konferensi sudah berkeliaran di Moscone Center San Francisco untuk melakukan pembicaraan di KTT Cloud Security Alliance dan Panel Grup Komputasi Tepercaya. Yang lain memulai pembicaraan tentang beragam topik yang berhubungan dengan keamanan dengan peserta lainnya. Posting pagi ini dari Duo Security tentang bagaimana para peneliti telah menemukan cara untuk mem-bypass otentikasi dua faktor Google adalah topik diskusi yang umum pagi ini.
Google memungkinkan pengguna untuk mengaktifkan otentikasi dua faktor pada akun Gmail mereka untuk keamanan yang lebih kuat dan menghasilkan token akses khusus untuk aplikasi yang tidak mendukung verifikasi dua langkah. Para peneliti di Duo Security menemukan cara untuk menyalahgunakan token khusus itu untuk sepenuhnya menghindari proses dua faktor, tulis Adam Goodman, insinyur keamanan utama di Duo Security. Duo Security memberi tahu Google tentang masalah tersebut, dan perusahaan telah "menerapkan beberapa perubahan untuk mengurangi ancaman yang paling serius, " tulis Goodman.
"Kami pikir ini adalah lubang yang cukup signifikan dalam sistem otentikasi yang kuat jika pengguna masih memiliki beberapa bentuk 'kata sandi' yang cukup untuk mengambil alih kendali penuh atas akunnya, " tulis Goodman.
Namun, ia juga mengatakan bahwa memiliki otentikasi dua faktor, bahkan dengan cacat ini, "benar-benar lebih baik" daripada hanya mengandalkan kombinasi nama pengguna / kata sandi yang normal.
Masalah dengan ASP
Otentikasi dua faktor adalah cara yang baik untuk mengamankan akun pengguna, karena memerlukan sesuatu yang Anda ketahui (kata sandi) dan sesuatu yang Anda miliki (perangkat seluler untuk mendapatkan kode khusus). Pengguna yang telah mengaktifkan dua faktor pada akun Google mereka harus memasukkan kredensial login normal mereka, dan kemudian kata sandi sekali pakai khusus ditampilkan di perangkat seluler mereka. Kata sandi khusus dapat dibuat oleh aplikasi pada perangkat seluler atau dikirim melalui pesan SMS, dan khusus untuk perangkat. Ini berarti pengguna tidak perlu khawatir tentang menghasilkan kode baru setiap kali mereka masuk, tetapi setiap kali mereka masuk dari perangkat baru. Namun, untuk keamanan tambahan, kode otentikasi kedaluwarsa setiap 30 hari.
Ide bagus dan implementasi, tetapi Google harus membuat "beberapa kompromi, " seperti kata sandi khusus aplikasi, sehingga pengguna masih dapat menggunakan aplikasi yang tidak mendukung verifikasi dua langkah, kata Goodman. ASP adalah token khusus yang dihasilkan untuk setiap aplikasi (karenanya nama) yang dimasukkan pengguna sebagai pengganti kombinasi kata sandi / token. Pengguna dapat menggunakan ASP untuk klien email seperti Mozilla Thunderbird, klien obrolan seperti Pidgin, dan aplikasi kalender. Versi Android yang lebih lama juga tidak mendukung dua langkah, sehingga pengguna harus menggunakan ASP untuk masuk ke ponsel dan tablet yang lebih lama. Pengguna juga dapat mencabut akses ke akun Google mereka dengan menonaktifkan ASP aplikasi itu.
Duo Security menemukan bahwa ASP sebenarnya tidak khusus untuk aplikasi, dan dapat melakukan lebih dari sekedar mengambil email melalui protokol IMAP atau acara kalender menggunakan CalDev. Bahkan, satu kode dapat digunakan untuk masuk ke hampir semua properti Web Google berkat fitur "masuk otomatis" baru yang diperkenalkan di Android dan Chrome OS versi terbaru. Login otomatis memungkinkan pengguna yang menautkan perangkat seluler atau Chromebook ke akun Google mereka untuk secara otomatis mengakses semua halaman terkait Google melalui Web tanpa pernah melihat halaman login lain.
Dengan ASP itu, seseorang dapat langsung menuju ke "halaman pemulihan akun" dan mengedit alamat email dan nomor telepon di mana pesan pengaturan ulang kata sandi dikirim.
"Ini cukup bagi kami untuk menyadari bahwa ASP menghadirkan beberapa ancaman keamanan yang sangat serius, " kata Goodman.
Duo Security mencegat ASP dengan menganalisis permintaan yang dikirim dari perangkat Android ke server Google. Sementara skema phishing untuk mencegat ASP kemungkinan akan memiliki tingkat keberhasilan yang rendah, Duo Security berspekulasi bahwa malware dapat dirancang untuk mengekstrak ASP yang disimpan pada perangkat atau memanfaatkan verifikasi sertifikat SSL yang buruk untuk mencegat ASP sebagai bagian dari man-in- serangan tengah.
Sementara perbaikan Google mengatasi masalah yang ditemukan, "kami ingin melihat Google menerapkan beberapa cara untuk lebih membatasi hak istimewa ASP individu, " tulis Goodman.
Untuk melihat semua posting dari cakupan RSA kami, lihat halaman Tampilkan Laporan kami.