Google a publié une mise à jour de son application d’authentification populaire qui stocke un « code à usage unique » dans le stockage en nuage, permettant aux utilisateurs qui ont perdu un appareil avec leur authentificateur de conserver l’accès à l’authentification à deux facteurs (2FA).
Dans le blog le 24 avril poster En annonçant la mise à jour, Google a déclaré que les jetons à usage unique seront stockés dans le compte Google de l’utilisateur, affirmant que les utilisateurs seront « mieux protégés contre le verrouillage » et que cela augmentera « la commodité et la sécurité ».
Le 26 avril Reddit poster Sur le forum r/Cryptocurrency, Redditor u/pojut a écrit que si la mise à jour aide ceux qui perdent l’appareil en y appliquant leur authentificateur, elle les rend également plus vulnérables aux pirates.
En le sécurisant dans le stockage en nuage associé au compte Google de l’utilisateur, cela signifie que toute personne ayant accès au mot de passe Google de l’utilisateur aura alors un accès complet à ses applications associées à l’authentificateur.
L’utilisateur a suggéré qu’une solution possible au problème SMS 2FA consiste à utiliser un ancien téléphone exclusivement utilisé pour héberger votre application d’authentification.
Je suggérerais également fortement que, si possible, vous ayez un appareil séparé (peut-être un ancien téléphone ou une ancienne tablette) dont le seul but dans la vie est d’être utilisé pour l’application d’authentification de votre choix. utilisez-le pour quoi que ce soit en dernier « .
De même, les développeurs de cybersécurité attrapé prendre à Twitter Pour avertir des complexités supplémentaires qui accompagnent la solution basée sur le cloud de Google pour 2FA.
Cela peut être une préoccupation majeure pour les utilisateurs qui utilisent Google Authenticator pour 2FA pour se connecter à des comptes d’échange crypto et à d’autres services liés aux finances.
Autres problèmes de sécurité 2FA
Le piratage 2FA le plus courant est un type de fraude d’identité connu sous le nom de « SIM swap » où les escrocs prennent le contrôle d’un numéro de téléphone en incitant le fournisseur de télécommunications à associer le numéro à leur carte SIM.
Un exemple récent de cela peut être vu dans un procès intenté contre l’échange de crypto-monnaie basé aux États-Unis Coinbase, où un client a affirmé avoir perdu « 90% de ses économies » après avoir été victime d’une telle attaque.
Notamment, Coinbase lui-même encourage l’utilisation d’applications d’authentification pour 2FA au lieu de SMS, une description SMS 2FA est la forme d’authentification « la moins sécurisée ».
à propos de: Le Bureau de contrôle des avoirs étrangers sanctionne les commerçants de gré à gré qui ont transféré des crypto-monnaies au groupe Lazarus en Corée du Nord
Sur Reddit, les utilisateurs ont discuté du procès et ont suggéré d’interdire SMS 2FA, bien qu’un utilisateur de Reddit ait noté qu’il s’agit actuellement de la seule option d’authentification disponible pour un certain nombre de services liés à la fintech et à la cryptographie :
« Malheureusement, peu de services que j’utilise offrent encore Authenticator 2FA. Mais je pense vraiment que l’approche SMS s’est avérée peu sûre et devrait être interdite. »
La société de sécurité Blockchain CertiK a mis en garde contre les dangers de l’utilisation de SMS 2FA, l’expert en sécurité Jesse Leclere ayant déclaré à Cointelegraph que « SMS 2FA est mieux que rien, mais c’est la forme la plus largement utilisée de 2FA actuellement ».
magazine: 4 fausses ventes NFT sur 10 : apprenez à repérer les signes de blanchiment d’argent