¿Dónde puede fallar 2 factores en Google?

Navega tus respuestas
4

Fui una de las personas que pensaron que habilitar el factor 2 en Apple habría impedido la descarga de imágenes desde iCloud; Recientemente se me indicó que, de hecho, estaba muy equivocado. El factor 2 de Apple solo funciona en un subconjunto de sus servicios y, por lo tanto, su factor 2 brinda una falsa sensación de seguridad (en este punto, pueden ampliar los servicios que protege su factor 2 en algún momento).

Pensé que la implementación era similar al factor 2 de Google. ¿Hay formas en que la implementación de 2 factores de Google se omita de manera similar, donde existen servicios o circunstancias que no me alertarían si una máquina o dispositivo fuera de mi control accediera a mi cuenta?

    
pregunta Bart Silverstrim 06.09.2014 - 20:05
fuente

2 respuestas

3

Aquí hay algunos escenarios en los que la implementación 2FA de Google podría verse comprometida:

  • Las contraseñas específicas de la aplicación no requieren 2FA incluso si 2FA está habilitado en la cuenta. Por lo tanto, una aplicación maliciosa a la que se le ha proporcionado una contraseña específica de la aplicación puede realizar acciones sin su conocimiento.

  • En Android, la aplicación Authenticator no contiene un lector de código QR interno, en su lugar, crea una intención implícita y permite que cualquier aplicación con un filtro de intención apropiado reciba la intención. Esta aplicación podría ser maliciosa o actuar como un MITM para un lector de código QR legítimo.

  • 2FA no es completamente inmune al phishing. Si un atacante puede convencerlo de que ingrese su contraseña y un pin 2FA válido, entonces potencialmente pueden iniciar sesión y crear una contraseña específica de la aplicación para usar como puerta trasera.

  • Hay una opción para recibir códigos 2FA a través de una llamada telefónica . La llamada telefónica puede ir potencialmente al correo de voz que es notoriamente insecure .

  • Un atacante también puede usar SMS y es relativamente astuto deslizar los permisos para acceder a los usuarios anteriores de SMS en Android en particular.

respondido por el thexacre 07.09.2014 - 02:53
fuente
0

La autenticación de 2 factores de Google requiere una contraseña y un método alternativo de verificación, como una llamada telefónica o un mensaje de texto. Una contraseña comprometida es el problema estándar. Ese es el motivo de la verificación de dos factores. Entonces, suponiendo que su contraseña haya sido comprometida, entonces concéntrese en la segunda parte: si alguien ha robado su teléfono celular, entonces la mensajería telefónica o una llamada se verían comprometidas.

Hace unos años tuve un teléfono que fue clonado. Lo que sucedió es que el teléfono clonado recibió las mismas llamadas y mensajes que el principal.

El robo de contraseñas es un problema potencial si se combina con el robo de un teléfono celular. Google informa a las personas de esto sin embargo durante el registro para el procedimiento.

La verificación de dos factores lo hace más difícil, pero no perfecto.

Consulte este artículo para obtener un informe de una persona en Australia que ha encontrado muchas cosas acerca de las múltiples formas de problemas de 2 factores con muchas compañías, incluida Google. enlace

    
respondido por el Jeff Clayton 07.09.2014 - 00:05
fuente

Lea otras preguntas en las etiquetas

OpenVPN: ¿Ubicación de almacenamiento y creación de claves / certificados? ¿Cómo afectará la desaprobación de SHA1 a las raíces de SHA1 en los almacenes de confianza del sistema operativo / navegador?