O Google Authenticator agora permite que você sincronize seu 2FA (autenticação de dois fatores) com sua Conta do Google. Dessa forma, você pode fazer login nos aplicativos com sua Conta do Google quando o telefone estiver indisponível. No entanto, pesquisadores de segurança afirmam que esse recurso pode representar um risco à segurança dos usuários.
O Google Authenticator é um dos aplicativos mais populares para configurar a autenticação de dois fatores e receber códigos. O aplicativo é gratuito, confiável e suportado pelo Google. Em uma atualização recente, o Google abordou uma das maiores preocupações dos usuários, permitindo que eles sincronizassem o aplicativo Authenticator com sua Conta do Google.
A empresa diz que esse recurso tornaria”códigos únicos mais duráveis, armazenando com segurança nas Contas do Google dos usuários.”Os códigos 2FA serão copiados com segurança na Conta do Google. Eles estarão facilmente acessíveis quando você perder seu telefone ou quiser configurar um novo dispositivo.
Claro, o Google ainda permite que você use o aplicativo Authenticator sem sincronizá-lo com sua Conta do Google. Além disso, o aplicativo tem um novo ícone e ajustes de design para uma melhor experiência do usuário.
Pesquisadores de segurança alertam sobre a sincronização do aplicativo Google Authenticator com a Conta do Google
Embora o recurso possa trazer conveniência para usuários, pesquisadores de segurança da empresa de software Mysk dizem que o tráfego no aplicativo Authenticator não é criptografado de ponta a ponta. Isso significa que um terceiro, como um funcionário do Google, pode ver os códigos 2FA que você usa para fazer login nas contas. As coisas podem piorar se um cibercriminoso puder acessar sua Conta do Google.
Os pesquisadores do Mysk acrescentam ainda que os códigos 2FA contêm outras informações, como nomes de contas e serviços. O Google pode usar esses dados para personalizar anúncios. Claro, dizem os pesquisadores, “as exportações de dados do Google não incluem os segredos 2FA que são armazenados na Conta do Google do usuário. Baixamos todos os dados associados à conta do Google que usamos e não encontramos vestígios dos segredos 2FA.”
Em resposta aos pesquisadores do Mysk, gerente de produtos de identidade e segurança do Google Christiaan Brand, observou que eles criptografam dados em todos os produtos, incluindo o aplicativo Authenticator. No entanto, ele diz que o E2EE [criptografia de ponta a ponta] pode impedir que os usuários acessem seus próprios dados sem recuperação. É por isso que o Google começou a lançar E2EE opcional para alguns de seus produtos. O Authenticator também receberá o recurso em breve.
“No momento, acreditamos que nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos em relação ao uso off-line.” Marca adicionada. “No entanto, a opção de usar o aplicativo offline continuará sendo uma alternativa para quem prefere gerenciar sua própria estratégia de backup.”
