» » Обход двухфакторной аутентификации Google

Обход двухфакторной аутентификации Google

Исследователи из компании Duo Security опубликовали способ обхода двухфакторной аутентификации Google, смены мастер-пароля Google Account и полного контроля над всеми сервисами пользователя. Единственное, что требуется для этого, — всего лишь перехватить ASP-пароль пользователя, то есть пароль, специфический для конкретного Google-приложения (application-specific password).

 

Читайте так же:

 

Подробнее об ASP-паролях см. в справочном разделе Google.

Обход двухфакторной аутентификации Google

Когда пользователь переходит на двухфакторную аутентификацию, ASP-пароли генерируются отдельно для каждого приложения, которое не поддерживает двухфакторную аутентификацию. После генерации они используются вместо основного пароля. Это довольно удобно. Например, если потерян мобильный телефон, с которого осуществлялся доступ по ASP-паролю, то можно просто поменять ASP-пароль для конкретного сервиса, не трогая основной пароль.

Обход двухфакторной аутентификации Google

Как выяснилось, эти ASP-пароли имеют гораздо больше полномочий, чем положено для простого доступа к конкретному сервису. Их можно использовать для доступа к основному аккаунту в обход двухфакторной аутентификации. Пример такого поведения можно увидеть в автологине Google Chrome с мобильного устройства. Кстати, экспериментальная поддержка автологина есть также в десктопной версии Chrome. Она позволяет получить доступ ко всем сервисам Google, даже если для аккаунта установлена двухфакторная аутентификация.

 

Компания Duo Security отправила отчёт с описанием проблемы в Google в июле 2012 года. 21 февраля Google начала закрывать ASP-сессии, предотвращая посторонний доступ к интерфейсам с чувствительной информацией.






Добавить комментарий

КОММЕНТАРИИ

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Быстрый вход: 

ВОЗМОЖНО ВАС ЭТО ЗАИНТЕРЕСУЕТ

Информация
Комментировать статьи на сайте возможно только в течении 90 дней со дня публикации.