Google hiện cho phép quản trị viên G Suite vô hiệu quá các xác thực 2FA không an toàn

Google mới đây đã thêm tùy chọn bảng điều khiển mới cho quản trị viên G Suite (Admin console), được thiết kế để giúp quản trị viên có quyền vô hiệu hóa các tùy chọn phương thức xác thực hai yếu tố (2FA) dưới dạng điện thoại cho tài khoản G Suite trong miền của họ, ngăn người dùng sử dụng SMS và mã thoại khi xác thực.

Theo tài liệu hỗ trợ của trung tâm trợ giúp G Suite (G Suite Help Center), 2FA, còn được gọi là xác minh 2 bước (2-Step Verification - 2SV) - "yêu cầu người dùng xác minh danh tính của họ thông qua một thông tin nào đó mà họ biết (chẳng hạn như mật khẩu), cộng với dữ liệu khác mà họ có (như khóa vật lý hoặc mã truy cập được gửi đến một thiết bị). Ngoài ra, nó còn được gọi là xác thực đa yếu tố (multi-factor authentication - MFA), hoặc xác thực 2 yếu tố (2-factor authentication - 2FA)".

Xác thực hai yếu tố (2FA)

Sau khi được kích hoạt trên một tài khoản, 2FA (được định cấu hình để hoạt động với mã tin nhắn văn bản/tin nhắn thoại, ứng dụng Google Authenticator hoặc với những yếu tố thứ hai về phần cứng như khóa bảo mật) sẽ giúp bảo vệ tài khoản đó khỏi các hành vi truy cập trái phép bằng cách tạo một lớp bảo vệ bổ sung, được thiết kế để chặn tác nhân độc hại đăng nhập bằng việc sử dụng những thông tin đã bị đánh cắp.

Cả xác thực SMS lẫn tin nhắn thoại 2FA đều được coi là không an toàn

"Tội phạm mạng đang ngày càng có xu hướng nhắm mục tiêu vào những doanh nghiệp nhỏ. Nếu tin tặc xâm nhập được vào tài khoản quản trị viên của bạn, chúng có thể tiếp cận được với thông tin về email, tài liệu, hồ sơ tài chính của bạn và hơn thế nữa. Một hacker có thể đánh cắp hoặc đoán mật khẩu tài khoản của bạn, nhưng họ không thể sao chép một cái gì đó mà chỉ bạn có" đại diện Google cho biết.

Mặc dù vậy, cũng có một số phương pháp 2FA không được Google khuyến nghị sử dụng, ví dụ như trong trường hợp các tùy chọn liên quan đến điện thoại, bao gồm tin nhắn văn bản và mã xác minh giọng nói. Đây đều là những dữ liệu xác thực được gửi đến người dùng thông qua hệ thống mạng của bên thứ 3 (ví dụ như nhà mạng viễn thông), do đó, chúng vẫn hoàn toàn có thể bị chặn hoặc xâm phạm bởi những kẻ tấn công tiềm năng.

Cũng có một số phương pháp 2FA không được Google khuyến nghị sử dụng

Các tùy chọn 2FA không an toàn hiện có thể bị vô hiệu hóa bởi quản trị viên G Suite cho toàn bộ miền từ Admin console:

“Khi nhận thức về các lỗ hổng tiềm ẩn liên quan đến SMS và mã giọng nói ngày càng tăng lên, một số quản trị viên đã yêu cầu chúng tôi đưa ra những biện pháp kiểm soát sâu rộng hơn đối với khả năng sử dụng các phương pháp xác minh 2 bước dựa trên điện thoại trong các tổ chức. Bản phát hành hiện tại của G Suite đã đáp ứng được yêu cầu đó - quản trị viên hiện sẽ sở hữu một chính sách có thể kiểm soát cũng như thực thi việc sử dụng xác thực đa yếu tố mà không cho phép dùng SMS và mã xác minh giọng nói”.

Bằng cách kích hoạt chính sách G Suite mới này trên miền của mình, các quản trị viên có thể tăng cường tính bảo mật chung cho tất cả các tài khoản người dùng và cung cấp khả năng bảo mật tốt hơn cho tất cả dữ liệu được liên kết.

Để kích hoạt chính sách mới này, bạn làm theo các bước sau:

  • Đối với quản trị viên: Áp dụng chính sách mới bằng cách thay đổi cài đặt tại Admin console > Security > Advanced security settings > Allowed two-step verification methods.
  • Đối với người dùng cuối: Người dùng cuối sẽ không phải thực hiện bất cứ hành động nào trừ khi quản trị viên thay đổi cấu hình.

Như vậy có thể thấy rằng sau khi mã xác minh văn bản và giọng nói 2FA bị vô hiệu hóa cho toàn bộ tên miền, người dùng hiện đang sử dụng chúng sẽ không thể đăng nhập được. Google đồng thời cũng cung cấp cho các quản trị viên một quy trình chi tiết được thiết kế để giúp họ tránh được lỗi đăng nhập trong phần "Set up 2-Step Verification" trên trang web hỗ trợ.

G Suite

Bên cạnh việc truyền đạt thông tin về các thay đổi cũng như ngày áp dụng thay đổi cho tất cả người dùng, quản trị viên cũng có thể cung cấp cho người dùng "thêm thời gian để đăng ký bằng cách đưa những người dùng này vào một nhóm ngoại lệ trong đó 2SV sẽ không được thực thi cho đến khi họ có thể thêm phương thức 2SV mới”. Vẫn đề này cũng đã được nêu chi tiết trong tài liệu "Avoid account lockouts when 2-Step Verification is enforced" của Google.

Các tùy chọn 2FA của Admin console mới sẽ có sẵn trong tất cả các phiên bản G Suite, nhưng chúng sẽ không được kích hoạt theo mặc định, do đó, quản trị viên phải "lựa chọn rõ ràng trong việc áp dụng chính sách này trên cơ sở OU/Group, giống như các chính sách thực thi 2SV hiện có khác".

Theo một thông tin liên quan, thông kê đã cho thấy rằng một số lượng lớn những cuộc tấn công mật khẩu dựa trên IMAP đã được nhiều tác nhân độc hại sử dụng để xâm phạm thành công các tài khoản Microsoft Office 365 và G Suite được bảo vệ bằng xác thực đa yếu tố (MFA).

Phương pháp lấy cắp mật khẩu dựa trên IMAP đã lợi dụng thực tế rằng IMAP là giao thức xác thực kế thừa bỏ qua MFA, giúp kẻ tấn công có thể thực hiện các cuộc tấn công “nhồi” thông tin chống lại những yếu tố không được bảo vệ.

Đội ngũ Proofpoint cũng cho biết có khoảng 60% trong tổng số khách hàng thuê dịch vụ G Suite và Office 365 được theo dõi đã bị nhắm mục tiêu bởi các cuộc tấn công dựa trên IMAP

Theo Proofpoint Information Protection Research Team, trong một "nghiên cứu kéo dài 6 tháng mới được hoàn tất gần đây về những khách hàng thuê dịch vụ đám mây lớn, các nhà nghiên cứu Proofpoint đã tiến hành quan sát nhiều cuộc tấn công lớn tận dụng những giao thức kế thừa và bãi bỏ thông tin xác thực để tăng tốc độ và hiệu quả của các thỏa hiệp tài khoản ép buộc ở quy mô lớn".

Ngoài ra, đội ngũ Proofpoint cũng cho biết có khoảng 60% trong tổng số khách hàng thuê dịch vụ G Suite và Office 365 được theo dõi đã bị nhắm mục tiêu bởi các cuộc tấn công dựa trên IMAP và khoảng 25% trong số này được thực hiện thành công, gây hậu quả đáng kể.

Thứ Ba, 19/11/2019 14:28
53 👨 424
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ