谷歌云将于2025年强制实施多因素身份验证
谷歌公司已确认计划要求所有 Google Cloud 客户使用多因素身份验证 (MFA),该流程将于本月启动,在 Google Cloud 控制台内嵌入提示和“有用的提醒”,然后从新的一年开始逐步实施。谷歌公司工程副总裁玛雅克·乌帕迪亚表示:“我们将分阶段为 Google Cloud 实施强制性 MFA,并将于2025年向全球所有用户推出。为了确保顺利过渡,Google Cloud 将在此过程中提前通知企业和用户,以帮助规划 MFA 部署。”谷歌公司表示,从2025年初开始,该公司将要求所有目前使用密码登录的 Google Cloud 用户激活 MFA。
—— Techcrunch
优步将验证乘客身份以加强司机安全
优步科技公司将开始通过与第三方身份验证数据库核对乘客账户信息,以提高司机的安全感。优步在公告中表示,从9月18提开始,经过身份验证的美国乘客将获得一个蓝色徽章,司机在决定是否接受乘车请求时可以看到该徽章。未验证身份的乘客仍然可以请求行程,并且乘客的姓氏将继续对司机隐藏。多年来,司机一直在游说网约车公司增加安全功能,以防劫车和恶意举报,而这些问题可能进一步破坏许多独立承包商本已不稳定的收入来源。优步预计大多数乘客将自动通过验证。乘客无法选择退出自动验证。
—— 彭博社
俄罗斯国家杜马新提案将强化 SIM 用户身份验证
俄罗斯国家杜马议员安东·戈列尔金和西里·皮斯卡廖夫今天共同提交了一份新提案,在“国家服务”平台上将新增“我的SIM卡”部分,其中会列出用户护照信息注册的所有电话号码。鉴于大量使用伪造文件注册SIM卡的诈骗行为,该提案旨在让用户全面了解以其护照信息注册的电话号码,并能够直接停止不使用的号码。对于使用俄罗斯移动运营商服务的外国人,将面临特别要求。他们无法通过互联网签订合同,只能在通信店和销售点,使用统一生物识别系统办理。每位外国公民最多可以登记十个号码。合同中将严格绑定IMEI,以防止将SIM卡移至其他设备。
—— 安东·戈列尔金
蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备
无人机技术公司 SkySafe 的软件工程师表示,存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。
马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司,他表示,该漏洞编号为 CVE-2023-45866,不需要任何特殊硬件即可利用,并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。
该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作,只要他们不需要密码或生物识别身份验证。
在周三发布的 GitHub 帖子中,bug 猎人这样描述了该安全漏洞:“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制,并且特定于实现的错误将其暴露给攻击者。”
—— The Register
安全研究人员发现微软 Windows Hello 指纹认证可被绕过
微软的 Windows Hello 指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞,这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本电脑。
微软邀请安全研究人员评估指纹传感器的安全性,研究人员在 10 月份的微软 BlueHat 会议上展示了他们的研究成果。该团队选择了来自 Goodix、Synaptics 和 ELAN 的三款流行的指纹传感器作为研究对象,并在博客文章中详细介绍了构建一个可以执行中间人攻击 (MitM) 的 USB 设备的过程。这种攻击可以提供对被盗笔记本电脑的访问,甚至对无人看管的设备进行“Evil Maid”攻击。
戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 都是指纹识别攻击的受害者,只要有人以前在设备上使用过指纹身份验证,研究人员就可以绕过 Windows Hello 保护。研究人员对软件和硬件进行了逆向工程,发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。绕过 Windows Hello 的复杂过程还涉及到解码和重新实现专有协议。
—— Theverge、Blackwing Intelligence
谷歌将开始在登录帐户时提示用户创建通行密钥(Passkeys)
在 5 月份首次推出后,Google 很快将积极鼓励用户为其帐户设置通行密钥(Passkeys)。
使用通行密钥,登录 Google 帐户只需输入用户名,然后使用你的手机或计算机的现有密码(PIN码、指纹、面部识别等)来确认登录尝试。
谷歌将在用户“下次登录谷歌帐户时”显示创建通行密钥的提示。你必须为每部手机、平板电脑、笔记本电脑和台式机创建一个 Google 帐户通行密钥,而通行密钥则无需 Google 的两步验证。
用户仍然可以通过关闭“尽可能跳过密码输入步骤”选项来仅使用密码而不是通行密钥。如果设备丢失,你可以在设置中撤销 Google 帐户通行密钥。
—— 9to5google
推特可能很快会添加身份验证以“防止冒充”
推特似乎正在开发新的身份验证功能,几个月前,猖獗的冒名顶替行为使该公司的付费验证计划暂时脱轨。根据应用程序研究员 Nima Owji 分享的屏幕截图,该平台目前正在开发一项额外的验证功能,要求用户上传政府颁发的身份证件副本并拍摄自拍照。
Owji 经常发现推特中未发布的功能,本月早些时候,他首次在马斯克的个人资料中发现了“身份验证”徽章。现在,他发现了一条应用内消息,详细说明了它的工作原理,这表明它可能距离正式发布越来越近了。“通过提供政府颁发的身份证件来验证您的帐户”,“这通常需要大约 5 分钟。” 它解释说,用户需要提供身份证件照片和自拍照。
推特似乎正与第三方“身份智能”公司 Au10tix 合作开发该功能。推特将保留“包括生物识别数据在内的身份证图像长达 30 天”,并将这些信息用于“安全和保安目的,包括防止冒名顶替。”
—— Engadget
谷歌在 Gmail 电子邮件中引入蓝勾身份验证功能,从 2023 年 5 月 3 日开始全面推出,在1~3天内全量发布。
覆盖所有 Google Workspace 客户、旧版 G Suite Basic 和 Business 客户以及个人 Google 帐户。
谷歌身份验证器的云端同步功能没有端到端加密
周一,Google Authenticator 推出了将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE),谷歌今天解释了原因。
Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评,因此从理论上讲,Google 可以获取并复制您的 2FA 代码。
那些非常注重安全并且不相信谷歌(或恶意第三方)不会访问用户数据的人希望通过使用只有他们知道的另一个密钥(或密码)对代码进行端到端加密,让除了他们之外没有人可以访问 2FA 代码。
谷歌今天解释说,Authenticator 的新同步功能的目标是“提供保护用户的功能,但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”,缺点是如果用户忘记或丢失了他们的 Google 帐户密码(或额外的安全层),他们可能“无法恢复自己的数据”。
谷歌“计划为谷歌身份验证器提供 E2EE。” 同时,它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。
—— 9TO5google
美国阿肯色州通过法律要求使用社交媒体和浏览色情网站的人进行实名身份验证
未经讨论,阿肯色州众议院以压倒性多数通过了一项法案,该法案要求 The Natural State 的社交媒体用户验证他们年满 18 岁才能使用这些平台。
该提案得到了州长萨拉桑德斯的支持,旨在保护未成年人免受社交媒体的有害影响。年轻人可以使用这些平台,但前提是父母同意。
由参议员 Tyler Dees 和众议员 Jon Eubanks 发起的参议院法案 396将要求包括 Facebook、Instagram、Twitter 和 TikTok 在内的社交媒体公司与第三方公司签订合同以进行年龄验证。用户必须向第三方公司提供数字驾驶执照。Dees 还发起了一项法案,现在是法律,该法案要求任何想要观看在线色情内容的人验证他们是成年人。
社交媒体法案以 18 票赞成票通过参议院,这是最低限度,但在众议院以 82-10 票通过,有 4 票弃权。
—— 阿肯色州时报