Google通知Chromebook用户重置其内部安全密钥
双因素身份验证 (2FA)的发明是传统用户名和密码系统固有的缺陷所必需的。安全专家多年来一直主张使用它,并且由于不断的赞扬,有些人很想通过启用2FA,他们几乎消除了任何帐户接管的机会。这就是为什么他们打开2FA并减少对密码的关注。
然而,这些用户往往会忘记,如果2FA失败,那么简单的密码就是保证数据安全的唯一因素。最近Google披露的Chromebook漏洞提供了更多证据证明 2FA可能会失败。在我们了解详细信息之前,我们需要了解有问题的2FA系统的工作原理。
Table of Contents
有些Chromebook配有内置2FA系统
您可能知道,2FA可以通过多种不同方式实现。专家认为围绕U2F标准的系统最安全,因为第二个因素通常依赖于无法通过互联网劫持的硬件令牌。此外,在其中,复杂的加密算法生成特殊密钥,与通过文本消息或临时密码发送的代码相比,可提供更高的安全性。
一年多以前,谷歌决定在其Chromebook中实施类似的2FA系统。不同之处在于它取消了额外的硬件令牌。相反,您只需按Chromebook上的电源按钮即可激活第二个因素。最初,该系统仅在谷歌的Pixelbooks上可用,但过了一段时间,其他制造商也开始使用在其硬件上启用它的芯片。谷歌称该技术为“内置安全密钥”,并且坚持认为它仍处于测试阶段。显然,有些事情需要解决。
谷歌2FA实施中的一个缺陷使安全密钥面临风险
易受攻击的2FA系统的核心是椭圆曲线数字签名算法(ECDSA),它应该生成随机秘密值。这些值与在线服务注册的加密签名一起生成用于生成提供第二因素的密钥。
谷歌的安全团队发现,由于ECDSA的实施不正确,生成的值比预期的熵要低得多。这意味着攻击者可以猜出这些值是什么,并使用被盗签名计算最重要的密钥,在没有访问受害者Chromebook的情况下击败第二个因素。
必须要说的是,不是每个人都可以完成这样的攻击。首先,黑客需要获得正确的签名,这通常通过HTTPS传输并且难以拦截. 然后,他们将不得不弄清楚脆弱的ECDSA生成是如何工作的,并计算出最终将它们引向密钥的确切值。
该漏洞已被修补
尽管对大多数人来说似乎不太可能发生攻击,但谷歌做了正确的事并修复了安全漏洞。 Chrome操作系统版本75附带补丁程序,Chromebook用户(尤其是那些拥有Google公开信息 “受影响的设备”部分中列出的笔记本电脑的用户)必须确保已安装。使用易受攻击的2FA系统的人也应该注意操作系统显示的警报,并用新的警告替换他们的注册签名。
人们不能做的一件事就是因为上述漏洞而关闭2FA。是的,它确实有时无法正常运行,但即使是安全性较低的实现仍然会增加一层保护,如果没有它,就不会存在。但是,不要忘记,第一个因素与第二个因素同样重要。