Google の 2FA 認証システム用の新しいクラウド バックアップのリスク

Google は、「ワンタイム コード」をクラウド ストレージに保存する人気の認証アプリのアップデートをリリースしました。これにより、デバイスと認証システムを紛失したユーザーは、2 要素認証 (2FA) へのアクセスを維持できます。

4月24日のブログにて 郵便 更新を発表した Google は、ワンタイム ユース トークンはユーザーの Google アカウントに保存されると述べ、ユーザーは「ロックアウトからよりよく保護され」、「利便性とセキュリティ」が向上すると主張しています。

4月26日にRedditで 郵便 r/Cryptocurrency フォーラムに対して、Redditor u/pojut は、このアップデートはデバイスにオーセンティケーターを適用することでデバイスを紛失した場合に役立ちますが、ハッカーに対してより脆弱になるとも書いています。

ユーザーの Google アカウントに関連付けられたクラウド ストレージでパスワードを保護することで、ユーザーの Google パスワードにアクセスできる人は誰でも、オーセンティケーターに関連付けられた自分のアプリに完全にアクセスできるようになります。

ユーザーは、SMS 2FA 問題を回避する方法の 1 つとして、認証アプリケーション専用の古い電話を使用することを提案しました。

また、可能であれば、選択した認証アプリに使用することだけを目的とした別のデバイス (古い電話や古いタブレットなど) を用意することを強くお勧めします。最後の何かに使用してください」。

同様に、サイバーセキュリティ開発者 つかまった にかかった ツイッター 2FA に対する Google のクラウドベースのソリューションに伴う追加の複雑さについて警告するため。

これは、Google Authenticator for 2FA を使用して暗号交換アカウントやその他の金融関連サービスにログインするユーザーにとって大きな懸念事項となる可能性があります。

その他の 2FA セキュリティの問題

最も一般的な 2FA ハックは、「SIM スワップ」として知られる ID 詐欺の一種であり、詐欺師は通信プロバイダーをだまして電話番号を SIM カードに関連付けさせることで、電話番号を制御できます。

この最近の例は、米国に本拠を置く暗号通貨取引所コインベースに対して提起された訴訟で見ることができます。この訴訟では、顧客がそのような攻撃の犠牲になった後、「貯蓄の 90%」を失ったと主張しました。

特に、Coinbase 自体は、SMS の代わりに 2FA 用の認証アプリの使用を奨励しています。 説明 SMS 2FA は、「最も安全でない」形式の認証です。

関連している： 外国資産管理局は、北朝鮮のラザルス グループに仮想通貨を譲渡した OTC トレーダーに制裁を科しています。

Reddit では、ユーザーは訴訟について議論し、SMS 2FA の禁止を提案しましたが、ある Reddit ユーザーは、現在、多くのフィンテックおよび暗号関連サービスで使用できる唯一の認証オプションであると述べています。

「残念ながら、私が使用しているサービスの多くはまだ Authenticator 2FA を提供していません。しかし、SMS アプローチは安全ではないことが証明されており、禁止されるべきだと確信しています。」

ブロックチェーンのセキュリティ会社である CertiK は、SMS 2FA を使用する危険性について警告しており、セキュリティ専門家の Jesse Leclere 氏は、Cointelegraph に次のように語っています。

雑誌： 4/10 偽の NFT 販売: マネーロンダリング取引の兆候を見つける方法を学ぶ