Google Pazartesi günü, kişisel hesapları ve Workspace hesapları olan kullanıcılar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirme sürecini basitleştirdiğini duyurdu.
2 Adımlı Doğrulama da denir (2 Adımlı Doğrulama), şifrelerin çalınması durumunda ele geçirme saldırılarını önlemek için kullanıcıların hesaplarına ekstra bir güvenlik katmanı eklemeyi amaçlamaktadır.
Yeni değişiklik, 2FA’yı açmadan önce kimlik doğrulama uygulaması veya donanım güvenlik anahtarı gibi ikinci bir adım yönteminin eklenmesini ve böylece daha az güvenli SMS tabanlı kimlik doğrulamanın kullanılması ihtiyacını ortadan kaldırmayı gerektiriyor.
Şirket, “Bu özellikle Google Authenticator (veya diğer eşdeğer zamana dayalı tek kullanımlık şifre (TOTP) uygulamalarını) kullanan kuruluşlar için faydalıdır” dedi. söz konusu. “Önceden kullanıcıların Kimlik Doğrulayıcıyı ekleyebilmeleri için bir telefon numarasıyla 2 Adımlı Doğrulama’yı etkinleştirmeleri gerekiyordu.”
Donanım güvenlik anahtarlarına sahip kullanıcılar, bunları hesaplarına eklemek için iki seçeneğe sahiptir; donanım anahtarına bir FIDO1 kimlik bilgisi kaydetmek veya birine bir geçiş anahtarı (yani bir FIDO2 kimlik bilgisi) atamak dahil.
Google, yönetici politikasının “Kullanıcıların oturum açarken şifre anahtarlarını kullanarak şifreleri atlamalarına izin ver” Kapatıldı.
Dikkate değer başka bir güncellemede, hesap ayarlarından 2FA’yı kapatmayı seçen kullanıcıların kayıtlı ikinci adımları artık otomatik olarak kaldırılmayacak.
Google, “Bir yönetici, Yönetici konsolundan veya Yönetici SDK’sı aracılığıyla bir kullanıcı için 2 Adımlı Doğrulama’yı devre dışı bıraktığında, kullanıcının katılım dışı iş akışlarının etkilenmemesini sağlamak için ikinci faktörler daha önce olduğu gibi kaldırılacaktır” dedi.
Bu gelişme, arama devinin geçen yıl 400 milyondan fazla Google hesabının şifresiz kimlik doğrulama için şifre kullanmaya başladığını söylemesiyle ortaya çıktı.
FIDO2 gibi modern kimlik doğrulama yöntemleri ve standartları, kimlik bilgisi toplama veya kötü amaçlı yazılım hırsızlığı yoluyla kolayca çalınabilecek bir parola yerine, kullanıcıları doğrulamak amacıyla akıllı telefonlar ve bilgisayarlar tarafından oluşturulan ve bunlara bağlanan kriptografik anahtarlardan yararlanarak kimlik avı ve oturum ele geçirme saldırılarına direnmek üzere tasarlanmıştır.
Ancak Silverfort’un yeni araştırması, bir tehdit aktörünün, Microsoft Entra gibi tek oturum açma (SSO) çözümleri kullanan uygulamalardaki kullanıcı oturumlarını ele geçirebilecek bir ortadaki rakip (AitM) saldırısı düzenleyerek FIDO2’yi aşabileceğini buldu. ID, PingFederate ve Yubico.
Güvenlik araştırmacısı Dor Segal, “Başarılı bir MitM saldırısı, kimlik doğrulama sürecinin tüm istek ve yanıt içeriğini açığa çıkarır.” söz konusu.
“Bu sona erdiğinde, düşman oluşturulan durum çerezini ele geçirebilir ve oturumu kurbandan ele geçirebilir. Basitçe söylemek gerekirse, kimlik doğrulama sona erdikten sonra uygulama tarafından herhangi bir doğrulama yapılmaz.”
Saldırı, çoğu uygulamanın, kimlik doğrulama başarılı olduktan sonra oluşturulan oturum belirteçlerini korumaması ve dolayısıyla kötü niyetli bir aktörün yetkisiz erişim elde etmesine izin vermesi nedeniyle mümkün olmaktadır.
Dahası, oturumu talep eden cihazda herhangi bir doğrulama yapılmaz; bu, herhangi bir cihazın çerezi süresi dolana kadar kullanabileceği anlamına gelir. Bu, bir AitM saldırısı yoluyla çerezi alarak kimlik doğrulama adımını atlamayı mümkün kılar.
Kimliği doğrulanmış oturumun yalnızca istemci tarafından kullanılmasını sağlamak için, şu şekilde bilinen bir tekniğin benimsenmesi önerilir: belirteç bağlamaBu, uygulamaların ve hizmetlerin güvenlik belirteçlerini Aktarım Katmanı Güvenliği (TLS) protokol katmanına kriptografik olarak bağlamasına olanak tanır.
Belirteç bağlama şu anda Microsoft Edge ile sınırlı olsa da, Google geçen ay Chrome’da, kullanıcıları oturum çerezi hırsızlığına ve ele geçirme saldırılarına karşı korumaya yardımcı olmak için Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) adı verilen yeni bir özelliği duyurdu.