বাড়ি Securitywatch গুগল দ্বি-গুণক প্রমাণীকরণ বাগ অ্যাকাউন্ট ছিনতাইয়ের অনুমতি দিয়েছে

গুগল দ্বি-গুণক প্রমাণীকরণ বাগ অ্যাকাউন্ট ছিনতাইয়ের অনুমতি দিয়েছে

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)
Anonim

সান ফ্রান্সিসকো - গবেষকরা গুগলের দ্বি-ফ্যাক্টর প্রমাণীকরণকে বাইপাস করতে এবং কোনও ব্যবহারকারীর জিমেইল অ্যাকাউন্টের উপর সম্পূর্ণ নিয়ন্ত্রণ পেতে অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডগুলি ব্যবহার করতে সক্ষম হন।

২০১৩ সালের আরএসএ সুরক্ষা সম্মেলনটি আগামীকাল সকালে আন্তরিকভাবে শুরু হবে, তবে সম্মেলনটির অনেক অংশগ্রহণকারী ক্লাউড সিকিউরিটি অ্যালায়েন্স সামিট এবং বিশ্বস্ত কম্পিউটিং গ্রুপ প্যানেলে আলোচনার জন্য সান ফ্রান্সিসকোয়ের মোসকোণ সেন্টারে ইতিমধ্যে মিল তৈরি করছিলেন। অন্যরা অন্যান্য উপস্থিতিদের সাথে সুরক্ষা-সম্পর্কিত বিষয়গুলির বিস্তৃত ভাণ্ডারে কথোপকথন শুরু করেছিল। গবেষকরা কীভাবে গুগলের দ্বি-ফ্যাক্টর প্রমাণীকরণকে বাইপাস করার উপায় খুঁজে পেয়েছিল সে সম্পর্কে ডুও সিকিউরিটির এই পোষ্ট পোস্টটি এই সকালে আলোচনার একটি সাধারণ বিষয় ছিল।

গুগল ব্যবহারকারীদের শক্তিশালী সুরক্ষার জন্য তাদের জিমেইল অ্যাকাউন্টে দ্বি-ফ্যাক্টর প্রমাণীকরণ চালু করতে এবং দ্বি-পদক্ষেপ যাচাইকরণ সমর্থন করে না এমন অ্যাপ্লিকেশনগুলির জন্য বিশেষ অ্যাক্সেস টোকেন তৈরি করার অনুমতি দেয়। ডুও সিকিউরিটির প্রিন্সিপাল সিকিউরিটি ইঞ্জিনিয়ার অ্যাডাম গুডম্যান লিখেছিলেন, ডুও সিকিউরিটির গবেষকরা দ্বি-ফ্যাক্টর প্রক্রিয়াটিকে সম্পূর্ণরূপে নষ্ট করার জন্য এই বিশেষ টোকেনগুলিকে অপব্যবহার করার একটি উপায় খুঁজে পেয়েছেন। গুডম্যান লিখেছেন, ডুয়ো সিকিউরিটি বিষয়গুলি সম্পর্কে গুগলকে অবহিত করেছে এবং সংস্থাটি "অত্যন্ত মারাত্মক হুমকির নিরসনে কিছু পরিবর্তন বাস্তবায়ন করেছে, " গুডম্যান লিখেছেন।

গুডম্যান লিখেছেন, "আমরা মনে করি এটি যদি কোনও ব্যবহারকারীর কাছে এমন কিছু 'পাসওয়ার্ড' থাকে যা তার অ্যাকাউন্টের পুরো নিয়ন্ত্রণ নিতে যথেষ্ট হয় তবে এটি একটি শক্তিশালী প্রমাণীকরণ ব্যবস্থার একটি বরং গুরুত্বপূর্ণ গর্ত।

তবে, তিনি আরও বলেছিলেন যে এই ত্রুটি থাকা সত্ত্বেও দ্বি-গুণক প্রমাণীকরণ থাকা কেবল একটি সাধারণ ব্যবহারকারীর নাম / পাসওয়ার্ডের সংমিশ্রণের উপর নির্ভর করার চেয়ে "দ্ব্যর্থহীনভাবে ভাল" better

এএসপি সহ ইস্যু

ব্যবহারকারীদের অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য দ্বি-গুণক প্রমাণীকরণ হ'ল একটি ভাল উপায়, যেহেতু এটির জন্য আপনার কিছু জানা (পাসওয়ার্ড) এবং আপনার কাছে থাকা কিছু (বিশেষ কোড পাওয়ার জন্য একটি মোবাইল ডিভাইস) প্রয়োজন। যে ব্যবহারকারীরা তাদের গুগল অ্যাকাউন্টগুলিতে দ্বি-গুণক চালু করেছেন তাদের সাধারণ লগইন শংসাপত্রগুলি প্রবেশ করাতে হবে এবং তারপরে তাদের মোবাইল ডিভাইসে বিশেষ এক-ব্যবহারের পাসওয়ার্ড প্রদর্শিত হবে। বিশেষ পাসওয়ার্ডটি মোবাইল ডিভাইসে থাকা কোনও অ্যাপ্লিকেশন দ্বারা তৈরি হতে পারে বা এসএমএস বার্তার মাধ্যমে প্রেরণ করা হতে পারে এবং এটি ডিভাইস নির্দিষ্ট। এর অর্থ ব্যবহারকারীরা প্রতিবার লগ ইন করার সময় একটি নতুন কোড তৈরি করার বিষয়ে চিন্তা করার দরকার নেই, তবে প্রতিবারই তারা নতুন ডিভাইস থেকে লগ ইন করে। তবে অতিরিক্ত সুরক্ষার জন্য, প্রমাণীকরণ কোডটি প্রতি 30 দিন অন্তর শেষ হয়।

দুর্দান্ত ধারণা এবং বাস্তবায়ন, তবে গুগলকে অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডের মতো "কয়েকটি আপস" করতে হয়েছিল, যাতে ব্যবহারকারীরা এখনও এমন অ্যাপ্লিকেশনগুলি ব্যবহার করতে পারেন যা দ্বি-পদক্ষেপ যাচাইকরণ সমর্থন করে না, গুডম্যান উল্লেখ করেছেন। এএসপিগুলি প্রতিটি অ্যাপ্লিকেশনের জন্য উত্পন্ন বিশেষ টোকেন (তাই নাম) যা ব্যবহারকারীরা পাসওয়ার্ড / টোকেন সংমিশ্রণের জায়গায় প্রবেশ করে। ব্যবহারকারীরা মজিলা থান্ডারবার্ড, পিডগিনের মতো চ্যাট ক্লায়েন্ট এবং ক্যালেন্ডার অ্যাপ্লিকেশনগুলির মতো ইমেল ক্লায়েন্টের জন্য এএসপি ব্যবহার করতে পারেন। পুরানো অ্যান্ড্রয়েড সংস্করণগুলি দ্বি-পদক্ষেপকে সমর্থন করে না তাই ব্যবহারকারীদের পুরানো ফোন এবং ট্যাবলেটগুলিতে সাইন ইন করতে এএসপি ব্যবহার করতে হয়েছিল। ব্যবহারকারীরা সেই অ্যাপ্লিকেশনটির এএসপি অক্ষম করে তাদের গুগল অ্যাকাউন্টে অ্যাক্সেস প্রত্যাহার করতে পারে।

ডুও সিকিউরিটি আবিষ্কার করেছে যে এএসপিগুলি আসলে অ্যাপ্লিকেশন-নির্দিষ্ট নয়, সর্বোপরি, এবং আইএএমএপি প্রোটোকল বা ক্যালডেভ ব্যবহার করে ক্যালেন্ডার ইভেন্টগুলিতে ইমেল দখল করার চেয়ে আরও বেশি কিছু করতে পারে। প্রকৃতপক্ষে, সাম্প্রতিক অ্যান্ড্রয়েড এবং ক্রোম ওএস সংস্করণগুলিতে প্রবর্তিত নতুন "অটো-লগইন" বৈশিষ্ট্যের জন্য গুগলের ওয়েব বৈশিষ্ট্যগুলির প্রায় কোনওটিতে লগ ইন করতে একটি কোড ব্যবহার করা যেতে পারে। অটো-লগইন করে এমন ব্যবহারকারীরা যা তাদের মোবাইল ডিভাইসগুলি বা ক্রোমবুকগুলি তাদের গুগল অ্যাকাউন্টগুলিতে লিঙ্ক করেছে তাদের অন্য কোনও লগইন পৃষ্ঠা না দেখে ওয়েবে স্বয়ংক্রিয়ভাবে ওয়েবে সমস্ত গুগল সম্পর্কিত পৃষ্ঠাগুলি অ্যাক্সেস করার অনুমতি দেয়।

সেই এএসপি দিয়ে, কেউ সরাসরি "অ্যাকাউন্ট পুনরুদ্ধার পৃষ্ঠায়" যেতে পারে এবং ইমেল ঠিকানা এবং ফোন নম্বরগুলি সম্পাদনা করতে পারে যেখানে পাসওয়ার্ড-রিসেট বার্তাগুলি প্রেরণ করা হয়।

গুডম্যান বলেছেন, "এটি উপলব্ধি করার জন্য আমাদের পক্ষে যথেষ্ট ছিল যে এএসপিরা কিছু আশ্চর্যজনক-গুরুতর সুরক্ষা হুমকির মুখোমুখি হয়েছিল।"

ডুয়ো সুরক্ষা অ্যান্ড্রয়েড ডিভাইস থেকে গুগল সার্ভারে প্রেরিত অনুরোধগুলির বিশ্লেষণ করে একটি এএসপি বাধা দিয়েছে। এএসপিগুলিকে বাধা দেওয়ার জন্য কোনও ফিশিং স্কিমটি সম্ভবত সাফল্যের স্বল্প হার পাবে, ডুও সিকিউরিটি অনুমান করেছে যে ম্যালওয়্যারটি ডিভাইসে সঞ্চিত এএসপিগুলি বের করার জন্য বা এএসপিগুলিকে ম্যান-ইন-এর অংশ হিসাবে বাধা দেওয়ার জন্য দুর্বল এসএসএল শংসাপত্র যাচাইয়ের সুবিধা নিতে ডিজাইন করা যেতে পারে- মধ্যম আক্রমণ।

গুডম্যান লিখেছেন যে সমস্যাগুলির সমাধান করা হয়েছে, "আমরা গুগল লিখেছিলেন যে পৃথক এএসপিদের সুবিধাগুলি আরও সীমাবদ্ধ করার জন্য গুগল কিছু উপায় প্রয়োগ করে দেখতে চাই।"

আমাদের আরএসএ কভারেজ থেকে সমস্ত পোস্ট দেখতে, আমাদের শো প্রতিবেদন পৃষ্ঠা দেখুন।

গুগল দ্বি-গুণক প্রমাণীকরণ বাগ অ্যাকাউন্ট ছিনতাইয়ের অনুমতি দিয়েছে