my history up until being nys emt 1998,(preceded by my run through of emergency room today)
2要素認証プロバイダであるDuo Securityの研究者は、Googleの認証システムに抜け穴があるため、2段階のログイン認証を迂回することができましたGoogleアカウントにGoogleのアプリケーション固有のパスワードを悪用することで悪用されています。
Duo Securityの調査によると、Googleは2月21日にこの欠陥を修正しましたが、Googleのアプリケーション固有のパスワードは、アカウントデータを管理する
有効にすると、Googleの2段階認証システムでは、独自のコードをadditioに入力する必要がありますnを使用してアカウントの通常のパスワードにログインします。これは、パスワードが侵害されてもアカウントがハイジャックされるのを防ぐためのものです。
[詳しい情報:Windows PCからマルウェアを削除する方法]
ただし、2段階認証のみを使用している場合は、このコードをアカウントに関連付けられた電話番号で受信することができます。 Googleのサイトからログインするときに動作します。デスクトップ電子メールクライアント、チャットプログラム、カレンダーアプリケーションなどに対応するため、Googleではアプリケーション固有パスワード(ASP)の概念を導入しました。これらはランダムに生成されたパスワードで、アプリケーションが第2の認証要素を必要とせずにアカウントにアクセスできるようにします。
問題は、「ASPは強制的なものであり、実際にはアプリケーション固有のものではありません!」という問題があります。デュオのセキュリティ研究者は月曜日にブログ記事で述べた。 「XMPPチャットクライアントなどで使用するASPを作成した場合、そのASPを使用してIMAPで電子メールを読むか、CalDAVでカレンダーイベントを取得することもできます」。 Androidの最新バージョンでChromeに実装された自動ログインメカニズムを使用して、ASPを使用してGoogleアカウントの復旧と2段階認証設定にアクセスできるようにしました。
本質的にこの欠陥により、 GoogleアカウントのASPを盗んで、そのアカウントに関連付けられている携帯電話番号と復旧メールアドレスを変更したり、2段階認証を完全に無効にしたりすることもできます。
「ユーザー名、ASP、https: //android.clients.google.com/auth、ログインプロンプト(または2段階認証)なしでGoogleのウェブプロパティにログインすることができます。デュオセキュリティ研究者は言った。 Googleのエンジニアがこの抜け穴を閉鎖するために修正案を提出した2月21日の時点で、これはもう終わっていない」と述べた。
問題を解決するだけでなく、Googleは明らかにアプリケーション固有のパスワードを生成したあなたのGoogleアカウントへの完全なアクセスを許可します。 "
「ユーザーが引き続き引き継ぐのに十分な「パスワード」の形式を持っているなら、強力な認証システムのかなりの穴だと思う彼のアカウントの制御、 "デュオセキュリティ研究者は言った。しかし、Googleの2段階認証が可能になったのは、Googleの2段階認証プロセスを公開する前でさえ、そうしないよりも明らかに優れていたということです。」と述べています。すべての個々のアプリケーション固有のパスワードの特権を制限するOAuthトークンに似ています。
Googleはこの欠陥に関するコメントのリクエストにすぐには反応しませんでした。または将来、アプリケーション固有のパスワードを細かく制御する計画。