Google, popüler doğrulayıcı uygulaması için cihazını kaybeden kullanıcıların iki faktörlü kimlik doğrulamasına (2FA) erişimlerini korumalarına olanak tanıyan bir güncelleme yayınladı.
24 Nisan'da yayınlanan bir blog yazısında Google, tek seferlik kodların kullanıcının Google hesabında saklanacağını açıklad. Yeni güncellemede kullanıcıların "kilitlenmeden daha iyi korunacaklarını" ve bunun "kolaylık sağlayacağını ve güvenliği artıracağını" iddia etti.
26 Nisan'da r/Cryptocurrency forumunda Reddit'e gönderilen bir gönderide, Redditor u/pojut, güncellemenin cihazını kaybeden kullanıcılar için yardımcı olduğunu ancak onları hackerlara karşı daha savunmasız hale getirdiğini yazdı.
Google hesabıyla ilişkilendirilen bulut depolamada saklanarak, kullanıcının Google şifresine erişebilen herkesin ardından doğrulayıcıya bağlı uygulamalara tam erişim elde edebileceği anlamına gelir.
Kullanıcı, SMS 2FA sorununu aşmanın olası bir yolu olarak, doğrulayıcı uygulamanızı kullanmak için yalnızca bu işlem için kullanılan eski bir telefon kullanmanın iyi bir fikir olduğunu önerdi.
Aynı şekilde, siber güvenlik geliştiricisi Mysk, Google'ın bulut depolama tabanlı 2FA çözümüyle ilgili ek sorunları Twitter'da paylaştı.
Google, 2FA Authenticator uygulamasını güncelledi ve çok ihtiyaç duyulan bir özelliği ekledi: gizli bilgileri cihazlar arasında senkronize etme özelliği.
TL;DR: Sakın açmayın.
Yeni güncelleme, kullanıcıların Google Hesapları ile oturum açmalarına ve 2FA sırlarını iOS ve Android cihazları arasında senkronize etmelerine olanak tanıyor.... pic.twitter.com/a8hhelupZR
— Mysk (@mysk_co) 26 Nisan, 2023
Bu, kripto borsa hesaplarına ve diğer finansal hizmetlere giriş için Google Authenticator ile 2FA kullanan kullanıcılar için önemli bir endişe kaynağı olabilir.
Diğer 2FA güvenlik problemleri
En yaygın 2FA hilesi, dolandırıcıların numarayı kendi SIM kartlarına bağlamak için telekomünikasyon sağlayıcısını kandırarak bir telefon numarasının kontrolünü ele geçiren "SIM değiştirme" adı verilen bir kimlik sahtekarlığı türüdür.
Buna yakın zamanda yaşanan bir örnek, ABD merkezli kripto para borsası Coinbase'e karşı açılan bir dava ile görülebilir. Burada bir müşteri, böyle bir saldırıya uğradıktan sonra "hayatındaki birikiminin %90'ını" kaybettiğini iddia etti.
Dikkate değer bir şekilde, Coinbase, SMS'le doğrulamaya kıyasla 2FA için doğrulayıcı uygulamaların kullanılmasını teşvik ediyor. SMS ile yapılan 2FA'yı "en güvensiz" kimlik doğrulama şekli olarak nitelendiriyor.
Şifresinin, biri ihlal edilen diğer sitelerde kullanıldığı için ele geçirildiğini tahmin ediyorum. Ayrıca Coinbase, 2FA için Authenticator uygulamasını "güvenli" ve SMS'i "orta derecede güvenli" olarak etiketleyerek teşvik ediyor.
— Dave Ferguson (@_sc0rn) 7 Mart, 2023
İlginizi çekebilir: CFTC, riskleri yönetmek için anonimliği azaltmayı öneriyor
Reddit'te, kullanıcılar davanın üzerinde konuşarak SMS 2FA'nın yasaklanmasını önerdi. Fakat bir Reddit kullanıcısı şu anda fintech ve kripto para ile ilgili bir dizi hizmet için tek kimlik doğrulama seçeneği olduğunu belirtti:
"Ne yazık ki kullandığım birçok hizmet henüz Authenticator 2FA sunmuyor. Ancak kesinlikle SMS yönteminin güvensiz olduğu kanıtlandı ve yasaklanmalı."
Blockchain güvenlik şirketi CertiK, SMS 2FA kullanmanın tehlikeleri konusunda uyarıda bulundu. Güvenlik uzmanı Jesse Leclere, Cointelegraph'a verdiği röportajda: "SMS 2FA, hiç olmamasından iyidir, ancak şu anda kullanılan en savunmasız 2FA şeklidir." diyerek belirtti.