11월 15, 2024

Wpick

지상에서 한국의 최신 개발 상황을 파악하세요

2FA 인증자를 위한 Google의 새로운 클라우드 백업의 위험

2FA 인증자를 위한 Google의 새로운 클라우드 백업의 위험

Google은 클라우드 저장소에 “일회성 코드”를 저장하는 인기 있는 인증자 앱에 대한 업데이트를 출시하여 인증자와 함께 장치를 분실한 사용자가 2단계 인증(2FA)에 대한 액세스를 유지할 수 있도록 합니다.

4월 24일 블로그에서 우편 업데이트를 발표하면서 구글은 일회용 토큰이 사용자의 구글 계정에 저장될 것이라고 말하면서 사용자가 “잠기는 것으로부터 더 잘 보호되고” “편리함과 보안”이 증가할 것이라고 주장했습니다.

4월 26일 레딧 우편 r/Cryptocurrency 포럼에서 Redditor u/pojut는 업데이트가 장치에 인증자를 적용하여 장치를 분실한 사람들에게 도움이 되지만 해커에게 더 취약하게 만든다고 썼습니다.

사용자의 Google 계정과 연결된 클라우드 저장소에 보안을 설정하면 사용자의 Google 비밀번호에 액세스할 수 있는 사람은 누구나 인증자와 연결된 앱에 대한 전체 액세스 권한을 갖게 됩니다.

사용자는 SMS 2FA 문제를 해결하는 한 가지 가능한 방법은 인증 애플리케이션을 저장하는 데 독점적으로 사용되는 오래된 전화기를 사용하는 것이라고 제안했습니다.

또한 가능하면 인생의 유일한 목적이 선택한 인증 앱에 사용되는 별도의 장치(오래된 휴대폰 또는 오래된 태블릿)가 있어야 한다고 강력히 제안합니다. 마지막으로 사용하십시오.

마찬가지로 사이버 보안 개발자 잡았다 로했다 트위터 2FA에 대한 Google의 클라우드 기반 솔루션과 함께 제공되는 추가 복잡성에 대해 경고합니다.

이는 Google Authenticator for 2FA를 사용하여 암호 교환 계정 및 기타 금융 관련 서비스에 로그인하는 사용자에게 주요 관심사가 될 수 있습니다.

기타 2FA 보안 문제

가장 일반적인 2FA 해킹은 “SIM 스왑”으로 알려진 신원 사기 유형으로, 사기꾼이 통신사를 속여 전화번호를 SIM 카드와 연결하도록 속여 전화번호를 제어합니다.

이에 대한 최근 사례는 미국에 기반을 둔 암호화폐 거래소 코인베이스(Coinbase)를 대상으로 제기된 소송에서 볼 수 있습니다. 한 고객은 이러한 공격의 피해자가 된 후 “예금의 90%”를 잃었다고 주장했습니다.

특히, Coinbase 자체는 SMS 대신 2FA용 인증 앱 사용을 권장합니다. 설명 SMS 2FA는 “가장 안전하지 않은” 인증 형식입니다.

관련된: 해외자산통제국, 북한 라자루스그룹에 암호화폐 양도한 장외거래업자 제재

Reddit에서 사용자는 소송에 대해 논의하고 SMS 2FA 금지를 제안했지만 한 Reddit 사용자는 현재 여러 핀테크 및 암호화 관련 서비스에 사용할 수 있는 유일한 인증 옵션이라고 언급했습니다.

“안타깝게도 제가 사용하는 서비스 중 아직 Authenticator 2FA를 제공하는 서비스는 많지 않습니다. 하지만 SMS 접근 방식이 안전하지 않은 것으로 입증되었기 때문에 금지되어야 한다고 생각합니다.”

블록체인 보안 회사인 CertiK는 보안 전문가 Jesse Leclere가 Cointelegraph에 “SMS 2FA가 없는 것보다 낫지만 현재 가장 널리 사용되는 2FA 형식”이라고 말하면서 SMS 2FA 사용의 위험성에 대해 경고했습니다.

잡지: 가짜 NFT 판매 10건 중 4건: 세탁 거래의 징후 파악 방법 알아보기