您可能已经看到了最近关于谷歌Authenticator (GA),这可能会让IT团队怀疑他们是否需要调整对应用程序进行身份验证和安全在其网络或应用程序. 这无疑给用户和企业带来了风险,以及如何使用密码和双因素身份验证(2FA)来有效保护用户和企业的问题。
签到 vpn
Google Authenticator于2010年首次推出,作为一款移动应用程序,它是比Google Authenticator更安全的2FA替代方案。短信一次性代码。 其与众不同之处在于它具有更强的安全功能,因为该应用程序可在用户的设备上创建代码,而无需通过不安全的网络传输。
时至今日,Google Authenticator的新功能现在可以让用户通过Google Authenticator在多台设备上同步2FA代码。云层. 该功能所提供的灵活性已被许多用户要求了相当长的时间,主要是因为当设备丢失或被盗时,它消除了重置每个代码的需要,同时也简化了在新设备上访问2FA代码的过程。
Darren James是Specops软件公司的高级产品经理。
安卓软件vp
在中国,我们的客户对这一新的更新表示了严重的担忧。网络安全一些研究人员认为社交媒体在发现同步过程未加密之后:
"我们分析了应用程序同步机密时的网络流量,结果发现这些流量没有经过端到端加密。 为什么会出现这种情况? 每个2FA二维码都包含一个用于生成一次性密码的秘密或种子。 如果其他人知道这个秘密,他们就可以生成相同的一次性验证码,从而破坏2FA保护。 因此,如果发生数据泄露,或者有人获取了您的谷歌账户访问权限,您的所有2FA密码都将被泄露。
这与该应用的主要目标背道而驰。 该应用程序推出之初,旨在提供一种选择,使代码不会通过不安全的网络传输。
此外,缺乏加密这将使用户面临数据泄露和谷歌账户被接管的风险。 如果威胁分子获得了用于创建一次性密码的2FA QR码,那么网络犯罪分子就可以获得相同的密码。
考虑到Google Authenticator是用户常用的2FA选项(下载量已超过1亿次),这些安全问题并非首次报告。 2020年,Android恶意软件被发现从Google Authenticator中窃取一次性密码。 此外,人们还注意到该应用缺乏额外的安全层,特别是缺乏密码或生物识别安全,这只会在设备被盗或丢失并被渗透的情况下增加企业的风险。
大流行后的企业也越来越依赖BYOD(自带设备)。 这加剧了企业面临的危险,因为IT部门无法控制用户的设备,也无法擦除它们。
签到 vpn
首先,关注Google Authenticator新功能的IT人员应了解设备持有者必须启用该功能。 在这之前,企业面临的风险相对较低。
其次,向已下载GA的用户解释更新带来的风险,并在谷歌在应用程序中提供端到端加密之前不要激活GA。
为进一步提高安全性,请确保实施灵活的多因素身份验证(MFA)平台。 这将使您在管理用户身份验证时能够控制和修改单个因素的权重。 这种分层方法将确保MFA即使在身份服务中断时也能正常运行,无论是设备丢失或被盗,还是身份服务瘫痪或受损。
的作用密码在这个故事中至关重要,不容忽视。 它是第一道防线,Google Authenticator是第二道防线。 如果密码泄露,应用程序才会出现任何安全问题。 为有效保护企业的Active Directory密码,可部署一个解决方案来管理和执行安全密码策略,重点是阻止密码泄露。 这将确保遵循更好的密码安全实践,并消除用户重复使用已被破解密码的可能性。
了解MFA并非100%安全--任何安全要素都不是100%安全的,每个要素都有可能被网络犯罪分子利用的潜在弱点。 积极主动的IT团队应该了解这一点,并在不危及组织和用户双方利益的情况下做出决策。 请记住,采用分层方法确保MFA和密码安全将大大降低员工和整个组织面临的风险。
