Google anunció el lunes que está simplificando el proceso de habilitar la autenticación de dos factores (2FA) para usuarios con cuentas personales y de Workspace.
También llamada verificación en dos pasos (2SV), su objetivo es agregar una capa adicional de seguridad a las cuentas de los usuarios para evitar ataques de apropiación en caso de que se roben las contraseñas.
El nuevo cambio implica agregar un método de segundo paso, como una aplicación de autenticación o una clave de seguridad de hardware, antes de activar 2FA, eliminando así la necesidad de utilizar la autenticación basada en SMS, menos segura.
«Esto es particularmente útil para las organizaciones que utilizan Google Authenticator (u otras aplicaciones equivalentes de contraseñas de un solo uso basadas en el tiempo (TOTP))», afirma la empresa. dicho. «Anteriormente, los usuarios tenían que habilitar 2SV con un número de teléfono antes de poder agregar Authenticator».
Los usuarios con claves de seguridad de hardware tienen dos opciones para agregarlas a sus cuentas, incluso registrar una credencial FIDO1 en la clave de hardware o asignar una clave de acceso (es decir, una credencial FIDO2) a una.
Google señala que es posible que aún se requiera que las cuentas de Workspace ingresen sus contraseñas junto con su clave de acceso si la política de administrador para «Permitir a los usuarios omitir contraseñas al iniciar sesión mediante claves de acceso» esta apagado.
En otra actualización notable, a los usuarios que opten por desactivar 2FA desde la configuración de su cuenta ya no se les eliminarán automáticamente los segundos pasos registrados.
«Cuando un administrador desactiva 2SV para un usuario desde la consola de administración o mediante el SDK de administración, los segundos factores se eliminarán como antes, para garantizar que los flujos de trabajo de baja del usuario no se vean afectados», dijo Google.
El desarrollo llega como el gigante de las búsquedas. dicho Más de 400 millones de cuentas de Google comenzaron a utilizar claves de acceso durante el año pasado para la autenticación sin contraseña.
Los métodos y estándares de autenticación modernos como FIDO2 están diseñados para resistir ataques de phishing y secuestro de sesión aprovechando claves criptográficas generadas y vinculadas a teléfonos inteligentes y computadoras para verificar a los usuarios en lugar de una contraseña que puede robarse fácilmente mediante la recolección de credenciales o malware ladrón.
Sin embargo, una nueva investigación de Silverfort ha descubierto que un actor de amenazas podría eludir FIDO2 organizando un ataque de adversario en el medio (AitM) que puede secuestrar sesiones de usuario en aplicaciones que utilizan soluciones de inicio de sesión único (SSO) como Microsoft Entra. ID, PingFederate y Yubico.
«Un ataque MitM exitoso expone todo el contenido de la solicitud y la respuesta del proceso de autenticación», dijo el investigador de seguridad Dor Segal.dicho.
«Cuando finaliza, el adversario puede adquirir la cookie de estado generada y secuestrar la sesión de la víctima. En pocas palabras, no hay validación por parte de la aplicación una vez finalizada la autenticación».
El ataque es posible debido al hecho de que la mayoría de las aplicaciones no protegen los tokens de sesión creados después de que la autenticación sea exitosa, lo que permite que un mal actor obtenga acceso no autorizado.
Además, no se realiza ninguna validación en el dispositivo que solicitó la sesión, por lo que cualquier dispositivo puede utilizar la cookie hasta que caduque. Esto permite saltarse el paso de autenticación adquiriendo la cookie mediante un ataque AitM.
Para garantizar que la sesión autenticada sea utilizada únicamente por el cliente, se recomienda adoptar una técnica conocida como vinculación de tokensque permite que las aplicaciones y servicios vinculen criptográficamente sus tokens de seguridad a la capa de protocolo Transport Layer Security (TLS).
Si bien la vinculación de tokens se limita a Microsoft Edge, Google anunció el mes pasado una nueva característica en Chrome llamada Credenciales de sesión vinculadas al dispositivo (DBSC) para ayudar a proteger a los usuarios contra el robo de cookies de sesión y ataques de secuestro.
