Google hôm thứ Hai đã thông báo rằng họ đang đơn giản hóa quá trình kích hoạt xác thực hai yếu tố (2FA) cho người dùng có tài khoản cá nhân và không gian làm việc. Còn được gọi là Xác minh 2 bước ( 2SV), nó nhằm mục đích thêm một lớp bảo mật bổ sung cho tài khoản của người dùng để ngăn chặn các cuộc tấn công chiếm đoạt trong trường hợp mật khẩu bị đánh cắp. Thay đổi mới đòi hỏi phải thêm phương pháp bước thứ hai, chẳng hạn như ứng dụng xác thực hoặc khóa bảo mật phần cứng, trước khi bật 2FA, do đó loại bỏ nhu cầu sử dụng xác thực dựa trên SMS kém an toàn hơn. "Điều này đặc biệt hữu ích cho các tổ chức sử dụng Google Authenticator (hoặc các ứng dụng mật khẩu một lần (TOTP) dựa trên thời gian tương đương khác)", công ty cho biết . "Trước đây, người dùng phải bật 2SV bằng số điện thoại trước khi có thể thêm Authenticator." Người dùng có khóa bảo mật phần cứng có hai tùy chọn để thêm chúng vào tài khoản của họ, bao gồm bằng cách đăng ký thông tin đăng nhập FIDO1 trên khóa phần cứng hoặc bằng cách gán khóa mật khẩu (tức là thông tin xác thực FIDO2) cho một khóa. Google lưu ý rằng tài khoản Workspace vẫn có thể được yêu cầu nhập mật khẩu cùng với khóa mật khẩu nếu chính sách quản trị cho " Cho phép người dùng bỏ qua mật khẩu khi đăng nhập bằng cách sử dụng khóa mật khẩu " bị tắt. Trong một bản cập nhật đáng chú ý khác, người dùng chọn tắt 2FA từ cài đặt tài khoản của họ giờ đây sẽ không còn bị xóa bước thứ hai đã đăng ký nữa. "Khi quản trị viên tắt 2SV cho người dùng từ Bảng điều khiển dành cho quản trị viên hoặc thông qua SDK dành cho quản trị viên, các yếu tố thứ hai sẽ bị xóa như trước đây, để đảm bảo quy trình làm việc của người dùng không bị ảnh hưởng", Google cho biết. Sự phát triển này diễn ra khi gã khổng lồ tìm kiếm cho biết hơn 400 triệu tài khoản Google đã bắt đầu sử dụng mật khẩu trong năm qua để xác thực không cần mật khẩu. Các phương pháp và tiêu chuẩn xác thực hiện đại như FIDO2 được thiết kế để chống lại các cuộc tấn công lừa đảo và chiếm quyền điều khiển phiên bằng cách tận dụng các khóa mật mã được tạo và liên kết với điện thoại thông minh và máy tính để xác minh người dùng thay vì mật khẩu có thể dễ dàng bị đánh cắp thông qua thu thập thông tin xác thực hoặc phần mềm độc hại đánh cắp. Tuy nhiên, nghiên cứu mới từ Silverfort đã phát hiện ra rằng một tác nhân đe dọa có thể vượt qua FIDO2 bằng cách dàn dựng một cuộc tấn công trung gian (AitM) có thể chiếm quyền điều khiển phiên người dùng trong các ứng dụng sử dụng các giải pháp đăng nhập một lần (SSO) như Microsoft Entra ID, PingFederate và Yubico. "Một cuộc tấn công MitM thành công phơi bày toàn bộ nội dung yêu cầu và phản hồi của quá trình xác thực", nhà nghiên cứu bảo mật Dor Segal cho biết . "Khi nó kết thúc, kẻ thù có thể lấy cookie trạng thái được tạo ra và chiếm quyền điều khiển phiên từ nạn nhân. Nói một cách đơn giản, không có xác thực bởi ứng dụng sau khi xác thực kết thúc.
