Google heeft maandag aangekondigd dat het het proces van het inschakelen van tweefactorauthenticatie (2FA) voor gebruikers met persoonlijke en Workspace-accounts vereenvoudigt.
Het wordt ook wel 2-stapsverificatie (2SV) genoemd en heeft tot doel een extra beveiligingslaag toe te voegen aan de accounts van gebruikers om overnameaanvallen te voorkomen als de wachtwoorden worden gestolen.
De nieuwe wijziging houdt in dat er een tweede stap-methode wordt toegevoegd, zoals een authenticator-app of een hardware-beveiligingssleutel, voordat 2FA wordt ingeschakeld, waardoor de noodzaak voor het gebruik van de minder veilige sms-gebaseerde authenticatie wordt geëlimineerd.
“Dit is vooral handig voor organisaties die Google Authenticator (of andere gelijkwaardige apps voor eenmalig wachtwoord (TOTP) gebruiken)”, aldus het bedrijf. “Voorheen moesten gebruikers 2SV inschakelen met een telefoonnummer voordat ze Authenticator konden toevoegen.”
Gebruikers met hardwarebeveiligingssleutels hebben twee opties om deze aan hun accounts toe te voegen, onder meer door een FIDO1-referentie op de hardwaresleutel te registreren of door een toegangssleutel (dwz een FIDO2-referentie) aan een sleutel toe te wijzen.
Google merkt op dat Workspace-accounts mogelijk nog steeds hun wachtwoord naast hun toegangssleutel moeten invoeren als het beheerdersbeleid voor 'Gebruikers toestaan wachtwoorden over te slaan bij het inloggen met behulp van toegangssleutels' is uitgeschakeld.
In een andere opmerkelijke update worden de ingeschreven tweede stappen van gebruikers die ervoor kiezen om 2FA uit te schakelen via hun accountinstellingen, nu niet langer automatisch verwijderd.
“Wanneer een beheerder 2SV voor een gebruiker uitschakelt vanuit de beheerdersconsole of via de Admin SDK, worden de tweede factoren zoals voorheen verwijderd, om ervoor te zorgen dat de off-boarding-workflows van gebruikers onaangetast blijven”, aldus Google.
De ontwikkeling komt zoals de zoekgigant zei dat meer dan 400 miljoen Google-accounts het afgelopen jaar wachtwoordsleutels zijn gaan gebruiken voor wachtwoordloze authenticatie.
Moderne authenticatiemethoden en -standaarden zoals FIDO2 zijn ontworpen om phishing- en sessiekaping-aanvallen te weerstaan door gebruik te maken van cryptografische sleutels die zijn gegenereerd door en gekoppeld aan smartphones en computers om gebruikers te verifiëren, in tegenstelling tot een wachtwoord dat gemakkelijk kan worden gestolen via het verzamelen van inloggegevens of stealer-malware.
Uit nieuw onderzoek van Silverfort is echter gebleken dat een bedreigingsacteur FIDO2 kan omzeilen door een Adversary-in-the-Middle (AitM)-aanval uit te voeren die gebruikerssessies kan kapen in applicaties die gebruik maken van Single Sign-On (SSO)-oplossingen zoals Microsoft Entra. ID, PingFederate en Yubico.
“Een succesvolle MitM-aanval legt de volledige vraag- en antwoordinhoud van het authenticatieproces bloot”, zegt beveiligingsonderzoeker Dor Segal.
“Wanneer het eindigt, kan de tegenstander de gegenereerde statuscookie verkrijgen en de sessie van het slachtoffer kapen. Simpel gezegd: er is geen validatie door de applicatie nadat de authenticatie is beëindigd.”
De aanval wordt mogelijk gemaakt doordat de meeste applicaties de sessietokens die zijn aangemaakt nadat de authenticatie succesvol is, niet beschermen, waardoor een slechte actor ongeautoriseerde toegang kan krijgen.
Bovendien wordt er geen validatie uitgevoerd op het apparaat dat de sessie heeft aangevraagd, wat betekent dat elk apparaat de cookie kan gebruiken totdat deze verloopt. Dit maakt het mogelijk om de authenticatiestap te omzeilen door de cookie te verwerven door middel van een AitM-aanval.
Om ervoor te zorgen dat de geverifieerde sessie uitsluitend door de client wordt gebruikt, wordt geadviseerd een techniek toe te passen die bekend staat als tokenbinding, waarmee toepassingen en services hun beveiligingstokens cryptografisch kunnen binden aan de Transport Layer Security (TLS)-protocollaag.
Hoewel de tokenbinding beperkt is tot Microsoft Edge, heeft Google vorige maand een nieuwe functie in Chrome aangekondigd, Device Bound Session Credentials (DBSC) genaamd, om gebruikers te helpen beschermen tegen diefstal van sessiecookies en kapingsaanvallen.