Google anunció el lunes que está simplificando el proceso de habilitación de la autenticación de dos factores (2FA) para los usuarios con cuentas personales y de Workspace.
También llamada verificación en 2 pasos (2SV), tiene como objetivo agregar una capa adicional de seguridad a las cuentas de los usuarios para evitar ataques de adquisición en caso de que las contraseñas sean robadas.
El nuevo cambio implica agregar un método de segundo paso, como una aplicación de autenticación o una clave de seguridad de hardware, antes de activar 2FA, eliminando así la necesidad de usar la autenticación basada en SMS menos segura.
«Esto es particularmente útil para las organizaciones que utilizan Google Authenticator (u otras aplicaciones equivalentes de contraseña de un solo uso basadas en el tiempo (TOTP))», dijo la compañía. «Anteriormente, los usuarios tenían que habilitar 2SV con un número de teléfono antes de poder agregar Authenticator».
Los usuarios con claves de seguridad de hardware tienen dos opciones para agregarlas a sus cuentas, incluso registrando una credencial FIDO1 en la clave de hardware o asignando una clave de paso (es decir, una credencial FIDO2) a una.
Google señala que es posible que las cuentas de Workspace sigan teniendo que introducir sus contraseñas junto con su clave de acceso si la política de administración de «Permitir a los usuarios omitir contraseñas al iniciar sesión mediante claves de acceso» está desactivada.
En otra actualización digna de mención, los usuarios que opten por desactivar la 2FA desde la configuración de su cuenta ya no tendrán sus segundos pasos inscritos eliminados automáticamente.
«Cuando un administrador desactiva 2SV para un usuario desde la consola de administración o a través del SDK de administración, los segundos factores se eliminarán como antes, para garantizar que los flujos de trabajo de baja de los usuarios no se vean afectados», dijo Google.
El desarrollo se produce cuando el gigante de las búsquedas dijo que más de 400 millones de cuentas de Google han comenzado a usar claves de acceso durante el año pasado para la autenticación sin contraseña.
Los métodos y estándares de autenticación modernos, como FIDO2, están diseñados para resistir los ataques de phishing y secuestro de sesión aprovechando las claves criptográficas generadas y vinculadas a teléfonos inteligentes y computadoras para verificar a los usuarios, en lugar de una contraseña que puede ser robada fácilmente a través de la recolección de credenciales o malware de robo.
Sin embargo, una nueva investigación de Silverfort ha descubierto que un actor de amenazas podría eludir FIDO2 organizando un ataque de adversario en el medio (AitM) que puede secuestrar sesiones de usuario en aplicaciones que utilizan soluciones de inicio de sesión único (SSO) como Microsoft Entra ID, PingFederate y Yubico.
«Un ataque MitM exitoso expone todo el contenido de solicitud y respuesta del proceso de autenticación«, dijo el investigador de seguridad Dor Segal.
«Cuando termina, el adversario puede adquirir la cookie de estado generada y secuestrar la sesión de la víctima. En pocas palabras, no hay validación por parte de la aplicación después de que finaliza la autenticación».
El ataque es posible debido al hecho de que la mayoría de las aplicaciones no protegen los tokens de sesión creados después de que la autenticación se realiza correctamente, lo que permite que un actor malicioso obtenga acceso no autorizado.
Además, no se realiza ninguna validación en el dispositivo que solicitó la sesión, por lo que cualquier dispositivo puede utilizar la cookie hasta que caduque. Esto permite eludir el paso de autenticación mediante la adquisición de la cookie mediante un ataque AitM.
Para asegurarse de que la sesión autenticada sea utilizada únicamente por el cliente, se recomienda adoptar una técnica conocida como enlace de tokens, que permite a las aplicaciones y servicios enlazar criptográficamente sus tokens de seguridad a la capa de protocolo de seguridad de la capa de transporte (TLS).
Si bien el enlace de tokens se limita actualmente a Microsoft Edge, Google anunció el mes pasado una nueva función en Chrome llamada Credenciales de sesión vinculadas al dispositivo (DBSC) para ayudar a proteger a los usuarios contra el robo de cookies de sesión y los ataques de secuestro.
Fuente: https://thehackernews.com