অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডগুলি Google- এর দুই-ফ্যাক্টর প্রমাণীকরণকে দুর্বল করে দেয়, গবেষকরা বলছেন যে

দুই-ফ্যাক্টর প্রমাণীকরণ প্রদানকারী ডুয়ো সিকিউরিটির গবেষকরা গুগলের প্রমাণীকরণ ব্যবস্থায় একটি ত্রাণসামগ্রী খুঁজে পেয়েছেন যা তাদেরকে কোম্পানির 2-পদক্ষেপ লগইন যাচাইয়ের বাইপাস করার অনুমতি দিয়েছে Google অ্যাকাউন্টগুলিতে ব্যক্তিগত অ্যাপ্লিকেশানগুলি সংযুক্ত করার জন্য ব্যবহার করা অনন্য পাসওয়ার্ডগুলি অপব্যবহার করে।

ডু সিকিউরিটি গবেষকদের মতে, গুগল ২1 শে ফেব্রুয়ারির ত্রুটিটি সংশোধন করেছে, কিন্তু ঘটনাটি এই বিষয়টি তুলে ধরেছে যে Google এর অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডগুলি ঘন অ্যাকাউন্ট ডেটার উপর নিয়ন্ত্রণ করুন।

সক্ষম থাকলে, Google এর 2-পদক্ষেপ যাচাইকরণ সিস্টেমের জন্য additio- এ অনন্য কোডগুলির ইনপুট প্রয়োজন লগ ইন করার জন্য অ্যাকাউন্টের নিয়মিত পাসওয়ার্ডে n এটি এটি হাইজ্যাক হওয়া থেকে অ্যাকাউন্টগুলিকে আটকানোর জন্য ডিজাইন করা হয়েছে যদিও পাসওয়ার্ডটি আপোস করা হয়। অনন্য কোডগুলি অ্যাকাউন্টের সাথে সংশ্লিষ্ট একটি ফোন নম্বরে পাওয়া যাবে বা একটি স্মার্টফোন অ্যাপ্লিকেশন ব্যবহার করে তৈরি করা যেতে পারে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

তবে, ২-পদক্ষেপ যাচাইকরণ শুধুমাত্র Google এর সাইটের মাধ্যমে লগ ইন করার সময় কাজ করে। ডেস্কটপ ই-মেইল ক্লায়েন্ট, চ্যাট প্রোগ্রাম, ক্যালেন্ডার অ্যাপ্লিকেশন ইত্যাদি অন্তর্ভুক্ত করার জন্য Google এ অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ড (এএসপি) -এর ধারণা চালু করেছে। এই এলোমেলোভাবে উত্পন্ন পাসওয়ার্ডগুলি যা একটি দ্বিতীয় প্রমাণীকরণ ফ্যাক্টর প্রয়োজন ছাড়া অ্যাপ্লিকেশন অ্যাক্সেসের অনুমতি দেয়। একাউন্টের প্রধান পাসওয়ার্ড পরিবর্তন না করেই ASPs প্রত্যাহার করা যায়।

সমস্যাটি হল, "এএসপিগুলি প্রয়োগের শর্তাবলী - আসলে আসলে কোনও অ্যাপ্লিকেশন-নির্দিষ্ট নয়!" ডুয়ো সিকিউরিটি গবেষকরা সোমবার একটি ব্লগ পোস্টে বলেছিলেন। "যদি আপনি কোনও এএসপি (XMPP) চ্যাট ক্লায়েন্টের জন্য ব্যবহার করেন তবে একই ASP আপনার IMAP ব্যবহার করে আপনার ইমেলটি পড়তে বা CalDAV এর সাথে আপনার ক্যালেন্ডার ইভেন্টগুলি ধরতে ব্যবহার করা যাবে।"

গবেষকরা একটি ত্রুটি খুঁজে পেয়েছেন অটোমো-লগইন প্রক্রিয়াটি ক্রোমে অ্যান্ড্রয়েডের সাম্প্রতিকতম সংস্করণগুলিতে প্রয়োগ করা হয়েছে যাতে তারা একটি ASP ব্যবহার করে Google অ্যাকাউন্টের পুনরুদ্ধার এবং ২-পদক্ষেপ যাচাইকরণের সেটিংস অ্যাক্সেসের জন্য অ্যাক্সেস করতে পারে।

মূলত, ত্রুটিটি একটি আক্রমণকারীকে অনুমতি দিতে পারে যে অ্যাকাউন্টের সাথে যুক্ত মোবাইল ফোন নম্বর এবং পুনরুদ্ধারের ইমেল ঠিকানাটি পরিবর্তন করতে একটি Google অ্যাকাউন্টের জন্য একটি ASP চুরি করেছে বা এমনকি 2-পদক্ষেপ যাচাইকরণ সম্পূর্ণরূপে অক্ষম করা হয়েছে।

"একটি ব্যবহারকারী নাম, একটি ASP, এবং https- এর জন্য একক অনুরোধ ছাড়া কিছুই নেই" //android.clients.google.com/auth, আমরা কোনও লগইন প্রম্পট (অথবা 2-পদক্ষেপ যাচাইকরণ) ছাড়া যেকোনো Google ওয়েব প্রোপার্টিতে লগ ইন করতে পারি! " দ্য সিকিউরিটি গবেষক ড। "এটি ২1 শে ফেব্রুয়ারির মতো আর আর নেই, যখন গুগল ইঞ্জিনিয়াররা এই লুকোচুরি বন্ধ করার জন্য ফিক্সকে ধাক্কা দেয়।"

এই সমস্যাটি সংশোধন করার পাশাপাশি, গুগল স্পষ্টত একটি অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ড তৈরি করার পরে প্রদর্শিত বার্তা পরিবর্তন করে ব্যবহারকারীদের সাবধান করতে "এই পাসওয়ার্ডটি আপনার Google অ্যাকাউন্টে সম্পূর্ণ প্রবেশাধিকার প্রদান করে।"

"আমরা মনে করি এটি একটি শক্তিশালী প্রমাণীকরণ সিস্টেমের পরিবর্তে একটি গুরুত্বপূর্ণ গর্ত, যদি ব্যবহারকারীর কোনো কিছু 'পাসওয়ার্ড' থাকে যা পুরোপুরি গ্রহণ করতে যথেষ্ট তার অ্যাকাউন্ট নিয়ন্ত্রণ, "Duo নিরাপত্তা গবেষকরা বলেন,. "তবে, আমরা এখনো নিশ্চিত যে, তাদের ফিক্স-সক্রিয় করা Google- এর ২-পদক্ষেপ যাচাইকরণটি শুরু করার আগেই এটি করা না তুলনায় স্পষ্টতই ভাল ছিল।"

এটি বলেছে, গবেষকরা দেখতে পারবেন যে Google কোন ধরণের প্রক্রিয়া ব্যবহার করে OAuth টোকেনের মতো যা প্রত্যেকটি অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডের বিশেষাধিকারগুলিকে সীমাবদ্ধ করার অনুমতি দেয়।

Google এই ফাঁকটির বিষয়ে মন্তব্য করার জন্য বা ভবিষ্যতে অ্যাপ্লিকেশন-নির্দিষ্ট পাসওয়ার্ডগুলির জন্য আরো ঘনক্ষেত্রীয় নিয়ন্ত্রণ প্রয়োগ করার সম্ভাব্য পরিকল্পনাগুলি অবিলম্বে জবাব দিচ্ছে না ।