Google hat dies gerade in seinem Sicherheitsblog angekündigt Die Authenticator-App des Unternehmens erhält nicht nur ein Redesign mit einem neuen, modernisierten Logo, sondern auch endlich Kontosynchronisierung für Ihre Codes! Die App hat Ihre Authentifizierungscodes nie über die Cloud synchronisiert, was nicht nur bei der Einrichtung zu viel Frustration und Ärger führte, sondern auch, wenn Sie das Telefon wechseln oder ein Upgrade durchführen, muss die App erneut eingerichtet werden, was dazu führt, dass viele Menschen aus ihrer App ausgeschlossen werden Konten, für die diese Codes erforderlich sind.
„Ein wichtiges Feedback, das wir im Laufe der Jahre von Benutzern gehört haben, war die Komplexität im Umgang mit verlorenen oder gestohlenen Geräten, auf denen Google Authenticator installiert war. Da einmalige Codes in Authenticator nur auf einem einzigen Gerät gespeichert wurden, bedeutete ein Verlust dieses Geräts, dass Benutzer ihre Fähigkeit verloren, sich bei jedem Dienst anzumelden, auf dem sie 2FA mit Authenticator eingerichtet hatten.“
Das ist großartig und alles, aber seltsamerweise sind diese Codes zwar mit Ihrem Google-Konto synchronisiert, um die Einrichtung und den Abruf auf neuen Geräten zu erleichtern, aber nicht Ende-zu-Ende-verschlüsselt! Dies ist ein großer Fehler von Google, und die Nutzer beginnen zu bemerken, dass diese Lösung unausgegoren ist.
Wenn Sie keine E2E-Verschlüsselung haben, könnten diese möglicherweise offengelegt oder abgefangen werden durch böswillige Dritte. Laut Mysk auf Twitter, der Gizmodo über die fehlende Verschlüsselung haben sie „den Netzwerkverkehr analysiert, wenn die App die Geheimnisse synchronisiert, und es stellt sich heraus der Datenverkehr ist nicht Ende-zu-Ende verschlüsselt“, und erklärte: „Das bedeutet, dass Google die Geheimnisse sehen kann, wahrscheinlich sogar, während sie auf ihren Servern gespeichert sind. Es gibt keine Option, eine Passphrase hinzuzufügen, um die Geheimnisse zu schützen, um sie nur dem Benutzer zugänglich zu machen.“ zu einem exponierten „Seed“, der zum Generieren Ihrer Codes verwendet wird. Wenn Sie sich diesen Seed besorgen, kann jeder seine eigenen Codes für Ihr Konto erstellen und diese verwenden, um Zugriff zu erhalten. Das bedeutet natürlich, dass wenn Google gehackt würde und jemand Zugriff auf seine Serverdaten hätte, auf denen diese Informationen von Ihnen gespeichert waren, er direkten Zugriff auf all Ihre Daten hätte.
Google reagierte schnell auf diese Situation über CNET und erklärte, dass es immer noch plant, die E2E-Verschlüsselung rechtzeitig in seine Authenticator-App einzuführen, und dass es die Kontosynchronisierung aus „Bequemlichkeitsgründen“ hinzugefügt hat, obwohl es mit der eigentlichen Idee, die Benutzer bei sich zu behalten, kollidiert Abstand zu Risiken und Sicherheitsbedenken.
(1/4) Wir konzentrieren uns immer auf die Sicherheit von @Google-Nutzer, und die neuesten Updates für Google Authenticator waren keine Ausnahme. Unser Ziel ist es, Funktionen anzubieten, die Benutzer schützen, ABER nützlich und bequem sind.
— Christiaan Brand (@christiaanbrand) 26. April 2023
Sie können die App weiterhin verwenden, ohne Ihre Geheimcodes zu synchronisieren, was bedeutet, dass für alle Benutzer, die dies sehen (es gibt viele, die unwissentlich ihre Konten synchronisieren wie auch immer), würde ich empfehlen, dass Sie es so verwenden, wie Sie es immer getan haben – abgeschnitten von den Servern von Google. Lassen Sie mich in den Kommentaren wissen, ob Sie den Google Authenticator überhaupt verwenden oder ob Sie zu anderen Lösungen wie Authy übergegangen sind.