禁用Google 2FA不需要2FA

2020-07-11 00:25:30

几天前,Amos,也被称为@fasterthan lime,经历了一次黑客窃取密码的事件,结果损失了几百欧元。然而,由于攻击者能够在Google的password.google.com上关闭双因素身份验证,而无需通过双因素身份验证机制进行确认,从而助长了这一攻击,这与启用双因素身份验证的意义不符。此外,随后的调查表明,存储在password.google.com中的密码可以很容易地提取出来,这引发了关于该服务安全性的更大问题。InfoQ已经联系了谷歌的安全工程师,他们做出了回应,当我们收到进一步的信息时,我们会更新这篇文章。

该漏洞的入口点是一个暴露的类似VNC的远程会话,使攻击者能够访问当时正在使用的MacOS窗口系统。该服务使用的是NoMachine,它在没有身份验证的情况下将4000上的端口暴露给互联网,正如阿莫斯所指出的那样,这是他们的错误。

然而,更大的问题出现了,因为Amos在MacOS上使用Safari登录了他们的账户。Safari很有帮助地记住了密码并自动填充,这就是黑客随后可以访问Amos';详细信息的原因。

因为Amos最近登录了那台机器,所以Google在他们的机器上缓存了最近的会话令牌(假设使用2FA检查)。这允许攻击者在一段时间后在Safari自动填充中重用缓存的密码,刷新会话令牌,并使用会话令牌禁用帐户上的2FA。这显然是故意的,因为如果你登录了一台计算机,并且你知道密码,那么你肯定就是那个目前没有攻击你的机器的人。如果您最近登录过,那么您就拥有了一个受祝福的会话,您所需要的只是一个因素--密码--来刷新受祝福的会话令牌,您就可以开始工作了。

这似乎是安全的101,但显然是为了让用户更容易,并避免他们不得不频繁键入2FA令牌,最近登录到一台机器就足够了,以便向Google保证,如果你知道密码,你可以进行安全级别的更改。这一点似乎很简单,但为了避免他们频繁地键入自己的2FA令牌,最近登录到一台机器就足够了,只要你知道密码就可以进行安全级别的更改。换句话说,它是2FA,除非您重新登录,在这种情况下,它是1FA。争论是:嗯,你登录了你的机器,它肯定是安全的,对吗?

@mrisher:@fasterthan lime可能术语不同?除了密码之外,还要触摸/解锁面部吗?我完全承认屏幕锁上有缝隙-肩部冲浪,闭上眼睛,等等-但这仍然是第二个因素,对吗?

@mrisher:@fasterthan lime正确,在我们的模型中,设备锁是云密码之外的第二个因素。你不同意吗?

嗯,是的,我不同意。2FA的全部要点是,嗯,应该是第二因素身份验证。如果你只用一个密码就可以改变安全设置,那就叫1FA。这是谷歌一名安全工程师的建议,这一事实让它更加令人担忧。

此外,一旦攻击者禁用了2FA,他们就能够远程攻击会话,并使用passwords.google.com提取了一些过去由Chrome自动保存的密码。Amos告诉InfoQ,他已经成为1Password的快乐用户有一段时间了,Chrome捕获的这些密码都是旧的或过期的服务,但其中足够多的密码仍然有效,以至于攻击者设法订购了一些硬件,并积累了一些Amos现在面临的不得不偿还的账单。

事实上,直到一家真正的2FA服务公司在半夜通知阿莫斯,他才注意到有些不对劲。

Amos调查的另一个方面是,passwords.google.com似乎将您的密码存储在使用您的谷歌登录密码的加密表单中。这允许任何知道您密码的人--比如说,因为Safari会自动为您填充密码--能够解密您的云密码。这类似于苹果的密钥链管理器,只要你知道密钥链密码,你就可以解密密钥链的内容;因此,Chrome通过中央服务和任何Chrome实例同步密码,就可以访问它们并解密密码。但这也是谷歌的密码检查服务所使用的;它可以使用你的账户密码来解密你账户中的所有密码,以确定它们是被黑客入侵了,还是特别脆弱。这使得控制机器会话的攻击者能够使用在线密码管理器轻松提取密码。可以通过使用密码选择作为密码加密密码来选择不使用密码,这将禁用密码检查程序功能,但会阻止Google在线解密您的密码。(#34;Choose as Passphrase&34;Encryption Password)这将禁用密码检查程序功能,但会阻止Google在线解密您的密码。

如果您正在使用Chrome记住您的密码,并且它正在使用您的默认帐户密码加密您的密码,那么passwords.google.com可能会成为一个安全漏洞。真实的密码管理器更可取。如果您没有使用真正的密码管理器,并且希望继续在Chrome上使用passwords.google.com,请至少选择与当前帐户不同的密码短语。

如果您不确定是否有人在使用您的谷歌帐户,您可以查看https://g.co/securityCheckup页面,查看哪些设备和位置最近使用了您的帐户,您可以从那里撤销它们。

2FA的安全性并不是这里要讨论的问题,只是为了方便用户而暂时禁用它到底是一种功能还是一个bug。

谷歌还提供了一项高级保护计划,该计划无法阻止这种攻击,但读者可能会感兴趣。-https://landing.google.com/advancedprotection/.。

Amos&39;关于这一事件的完整记录可以在“小心谷歌密码管理器”(Beware The Google Password Manager)上找到。

你对这种情况怎么看?是消费者的便利性和用户的想法,还是应该修复的安全漏洞?在下面添加您的评论。

InfoQ上上周内容的综述每周二都会发布。加入一个超过25万名高级开发人员的社区。查看示例。

选择您的国家/地区我同意InfoQ.com按照本隐私声明中的说明处理我的数据。