Car-tech

รหัสผ่านเฉพาะแอ็พพลิเคชันลดการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google ลง ข้ามการยืนยันการเข้าสู่ระบบแบบสองขั้นตอนของ บริษัท โดยใช้รหัสผ่านที่ไม่ซ้ำกันซึ่งใช้สำหรับแต่ละแอพพลิเคชัน

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ
Anonim

ตามที่นักวิจัยของ Duo Security Google ได้แก้ไขข้อบกพร่องนี้ในวันที่ 21 กุมภาพันธ์ แต่เหตุการณ์นี้ชี้ให้เห็นว่ารหัสผ่านเฉพาะแอ็พพลิเคชันของ Google ไม่ได้ให้รายละเอียด การควบคุมข้อมูลบัญชี

เมื่อเปิดใช้ระบบการยืนยันแบบสองขั้นตอนของ Google จะต้องมีการป้อนรหัสที่ไม่ซ้ำกันในการเพิ่ม n ไปยังรหัสผ่านปกติของบัญชีเพื่อเข้าสู่ระบบนี่ออกแบบมาเพื่อป้องกันบัญชีจากการถูกแย่งชิงแม้จะมีการบุกรุกรหัสผ่าน รหัสที่ไม่ซ้ำกันสามารถรับได้ที่หมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีหรือสามารถสร้างขึ้นโดยใช้แอปพลิเคชันมาร์ทโฟน

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

อย่างไรก็ตามการยืนยันแบบ 2 ขั้นตอนเท่านั้น ทำงานเมื่อเข้าสู่ระบบผ่านทางเว็บไซต์ของ Google เพื่อรองรับไคลเอ็นต์อีเมลเดสก์ท็อปโปรแกรมแชทแอปพลิเคชันปฏิทินและอื่น ๆ Google จึงได้แนะนำแนวคิดเกี่ยวกับรหัสผ่านเฉพาะแอปพลิเคชัน (ASP) รหัสผ่านเหล่านี้เป็นรหัสผ่านแบบสุ่มที่สร้างขึ้นเพื่อให้แอปพลิเคชันสามารถเข้าถึงบัญชีได้โดยไม่จำเป็นต้องมีปัจจัยยืนยันตัวตนที่สอง ASP สามารถถูกเพิกถอนได้ตลอดเวลาโดยไม่ต้องเปลี่ยนรหัสผ่านหลักของบัญชี

ปัญหาคือ "ASPs อยู่ในแง่ของการบังคับใช้ - ไม่ใช่แอ็พพลิเคชันเฉพาะเลย!" นักวิจัยด้านความมั่นคง Duo กล่าวในวันจันทร์ที่โพสต์บล็อก "ถ้าคุณสร้าง ASP เพื่อใช้ใน (เช่น) ไคลเอ็นต์แชท XMPP ASP แบบเดียวกันนั้นสามารถใช้เพื่ออ่านอีเมลของคุณผ่าน IMAP หรือคว้าเหตุการณ์ในปฏิทินของคุณด้วย CalDAV"

นักวิจัยพบข้อบกพร่องใน กลไกการเข้าสู่ระบบอัตโนมัติที่ติดตั้งใน Chrome ใน Android เวอร์ชันล่าสุดที่อนุญาตให้ใช้ ASP เพื่อเข้าถึงการกู้คืนบัญชีและการตั้งค่าการยืนยันแบบ 2 ขั้นตอนของ Google

โดยนัยข้อบกพร่องนี้อาจทำให้ผู้บุกรุกสามารถโจมตีได้ ขโมยบัญชี ASP สำหรับบัญชี Google เพื่อเปลี่ยนหมายเลขโทรศัพท์มือถือและที่อยู่อีเมลสำหรับการกู้คืนที่เชื่อมโยงกับบัญชีนั้นหรือแม้กระทั่งปิดใช้งานการยืนยันแบบสองขั้นตอนด้วย

"ไม่มีอะไรนอกจากชื่อผู้ใช้ ASP และคำขอ //android.clients.google.com/auth เราสามารถเข้าสู่พื้นที่เว็บของ Google ได้โดยไม่ต้องมีการแจ้งเตือนการเข้าสู่ระบบ (หรือการยืนยันแบบสองขั้นตอน)! " นักวิจัยกล่าวว่า Duo Security "นี่ไม่ใช่กรณีตั้งแต่วันที่ 21 กุมภาพันธ์เมื่อวิศวกรของ Google แก้ไขข้อบกพร่องเพื่อปิดช่องโหว่นี้"

นอกเหนือจากการแก้ไขปัญหาแล้ว Google เห็นได้ชัดว่าได้เปลี่ยนข้อความที่แสดงหลังจากสร้างรหัสผ่านเฉพาะแอปพลิเคชันตามลำดับ เพื่อเตือนผู้ใช้ว่า "รหัสผ่านนี้ทำให้คุณสามารถเข้าถึงบัญชี Google ของคุณได้อย่างสมบูรณ์"

"เราคิดว่านี่เป็นช่องโหว่ที่สำคัญมากในระบบการตรวจสอบสิทธิ์ที่เข้มงวดหากผู้ใช้ยังคงมี" รหัสผ่าน "เพียงพอที่จะใช้งานได้เต็มรูปแบบ การควบคุมบัญชีของเขา "นักวิจัย Duo Security กล่าว "อย่างไรก็ตามเรายังคงมั่นใจว่าแม้กระทั่งก่อนที่จะเปิดตัวการตรวจสอบยืนยัน 2 ขั้นตอนของ Google ทำให้การตรวจสอบยืนยันแบบสองขั้นตอนของ Google ดีขึ้นอย่างเห็นได้ชัดกว่าการไม่ทำอย่างนั้น"

กล่าวได้ว่านักวิจัยต้องการให้ Google ใช้กลไกบางอย่าง คล้ายกับโทเค็น OAuth ที่จะอนุญาตให้มีการ จำกัด สิทธิพิเศษของรหัสผ่านเฉพาะแอ็พพลิเคชันทุกแบบ

Google ไม่ได้ตอบสนองต่อคำขอให้แสดงความคิดเห็นเกี่ยวกับข้อบกพร่องนี้หรือวางแผนที่จะใช้การควบคุมแบบละเอียดสำหรับรหัสผ่านเฉพาะแอปพลิเคชันในอนาคต.

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

บริษัท นับกระทรวงรัฐบาล ผู้บริหารของ บริษัท กล่าวในการให้สัมภาษณ์เมื่อวันพุธที่ผ่านมาว่า VMware กำลังสร้างฐานลูกค้าใหม่ในกลุ่ม บริษัท ขนาดเล็กของจีนซึ่งมีผู้ใช้งาน 1,000 คนหรือน้อยกว่านี้ Andrew Dutton หัวหน้าภาคพื้นเอเชียแปซิฟิคของ VMware กล่าวว่าธุรกิจของวีเอ็มแวร์ในจีนเพิ่มขึ้นสามเท่าในปีที่ผ่านมา บริษัท คาดหวังว่าจะมีพนักงาน 350 คนในประเทศจีนภายในสิ้นปีนี้เพิ่มขึ้นจากประมาณ 200 ในขณะนี้

บริษัท นับกระทรวงรัฐบาล ผู้บริหารของ บริษัท กล่าวในการให้สัมภาษณ์เมื่อวันพุธที่ผ่านมาว่า VMware กำลังสร้างฐานลูกค้าใหม่ในกลุ่ม บริษัท ขนาดเล็กของจีนซึ่งมีผู้ใช้งาน 1,000 คนหรือน้อยกว่านี้ Andrew Dutton หัวหน้าภาคพื้นเอเชียแปซิฟิคของ VMware กล่าวว่าธุรกิจของวีเอ็มแวร์ในจีนเพิ่มขึ้นสามเท่าในปีที่ผ่านมา บริษัท คาดหวังว่าจะมีพนักงาน 350 คนในประเทศจีนภายในสิ้นปีนี้เพิ่มขึ้นจากประมาณ 200 ในขณะนี้

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิ่งสื่อและการสำรองข้อมูล]