Google telah merilis pembaruan untuk aplikasi autentikator populernya yang menyimpan “kode satu kali” di penyimpanan cloud, yang memungkinkan pengguna yang kehilangan perangkat mereka dengan autentikator mereka di atasnya untuk tetap mengakses 2FA mereka.
Dalam sebuah blog tertanggal 24 April mengirim Mengumumkan pembaruan, Google mengatakan bahwa kode satu kali akan disimpan di Akun Google pengguna, dan pengguna yang diklaim akan “lebih terlindungi dari pemblokiran” dan akan meningkatkan “kenyamanan dan keamanan.”
Dalam Reddit 26 April mengirim Di forum r/Cryptocurrency, Redditor u/pojut menulis bahwa sementara pembaruan membantu mereka yang kehilangan perangkat mereka dengan aplikasi autentikator mereka, itu membuat mereka lebih rentan terhadap peretas.
Dengan mengamankannya di penyimpanan cloud yang terkait dengan akun Google pengguna, ini berarti siapa pun yang dapat mengakses kata sandi Google pengguna selanjutnya akan mendapatkan akses penuh ke aplikasi mereka yang ditautkan ke autentikator.
Pengguna menyarankan bahwa cara potensial mengatasi masalah SMS 2FA adalah dengan menggunakan ponsel lama yang hanya digunakan untuk menghosting aplikasi autentikator.
“Saya juga sangat menyarankan bahwa jika memungkinkan, Anda harus memiliki perangkat terpisah (mungkin ponsel atau tablet lama) yang satu-satunya tujuan hidup adalah untuk digunakan untuk aplikasi autentikator favorit Anda.” Jangan menyimpan apa pun di atasnya dan jangan menggunakannya untuk hal lain.
Begitu pula dengan pengembang keamanan komputer Mysk tertangkap di Kicau untuk memperingatkan komplikasi lebih lanjut yang menyertai solusi berbasis penyimpanan cloud Google untuk 2FA.
Google baru saja memperbarui aplikasi 2FA Authenticator dan menambahkan fitur yang sangat dibutuhkan: kemampuan untuk menyinkronkan rahasia di seluruh perangkat.
TL; DR: Jangan nyalakan.
Pembaruan baru memungkinkan pengguna untuk masuk dengan akun Google mereka dan menyinkronkan rahasia 2FA di perangkat iOS dan Android mereka…. pic.twitter.com/a8hhelpZR
— Mysk (@mysk_co) 26 April 2023
Ini bisa menjadi perhatian yang signifikan bagi pengguna yang menggunakan Google Authenticator untuk 2FA untuk mengakses akun pertukaran cryptocurrency dan layanan keuangan lainnya.
Serangan 2FA yang paling umum adalah jenis penipuan identitas yang dikenal sebagai “pertukaran SIM”, di mana penipu mendapatkan kendali atas nomor telepon dengan mengelabui penyedia telekomunikasi agar menghubungkan nomor tersebut ke kartu SIM mereka.
Contoh terbaru dari ini bisa jadi terlihat dalam gugatan yang diajukan terhadap Pertukaran cryptocurrency Coinbase yang berbasis di AS, di mana seorang pelanggan mengklaim telah kehilangan “90% dari tabungan hidupnya” setelah menjadi korban serangan semacam itu.
Khususnya, Coinbase sendiri mendorong penggunaan aplikasi autentikator untuk 2FA daripada SMS e menjelaskan SMS 2FA sebagai bentuk autentikasi yang “kurang aman”.
Saya menduga kata sandi Anda disusupi karena digunakan di situs lain, salah satunya diretas. Selain itu, Coinbase mendorong aplikasi Authenticator untuk 2FA dengan memberi label “aman” dan SMS sebagai “cukup aman”.
— Dave Ferguson (@_sc0rn) 7 Maret 2023
Di Reddit, pengguna dibahas penyebabnya dan bahkan mengusulkan untuk melarang SMS 2FA. Seperti yang dicatat oleh salah satu pengguna Reddit, saat ini ini adalah satu-satunya opsi otentikasi yang tersedia untuk sejumlah layanan terkait tekfin dan cryptocurrency:
“Sayangnya banyak layanan yang saya gunakan belum menawarkan Authenticator 2FA. Tapi menurut saya pendekatan SMS terbukti berbahaya dan harus dilarang.
Perusahaan keamanan Blockchain, CertiK, telah memperingatkan bahaya menggunakan SMS 2FA, dengan pakar keamanannya Jesse Leclere memberi tahu Cointelegraph bahwa “SMS 2FA lebih baik daripada tidak sama sekali, tetapi ini adalah bentuk 2FA yang paling rentan saat ini digunakan.”
Majalah: 4 dari 10 penjualan NFT palsu – pelajari tanda-tanda perdagangan pencucian