¿Sabías que Google Authenticator no era seguro hasta ahora? Puede ser difícil de aceptar, pero es cierto. Google ahora planea agregar cifrado de extremo a extremo a Google Authenticator. Hace unos días, los investigadores de seguridad criticaron a la empresa por no agregar un alto nivel de seguridad a su herramienta premium.
En respuesta a las críticas, la empresa está implementando una función de sincronización de cuentas con Google Authenticator. En su cuenta de Twitter, el gerente de producto de Google, Christiaan Bran, escribe que la compañía planea ofrecer E2EE en el futuro. El Sr. Brand escribe:
“Por ahora, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y ofrece ventajas significativas sobre el uso sin conexión. Sin embargo, la opción de usar la aplicación sin conexión seguirá siendo una elección para aquellos que prefieran administrar su propia estrategia de copia de seguridad”.
Google Authenticator obtendrá autenticación de extremo a extremo…
Fue impactante saber que Google Authenticator no tiene una función de seguridad confiable. A principios de esta semana, la herramienta había comenzado a mostrar una opción de autenticación de dos factores a sus usuarios. Con esta opción, los usuarios podrán sincronizar códigos de autenticación de dos factores con sus cuentas de Google. Esto facilitará que los usuarios inicien sesión en sus cuentas de Google en dispositivos nuevos.
Noticias de la semana de Gizchina
Este es un cambio bienvenido, pero puede traer algunos problemas de seguridad. Con este cambio, los piratas informáticos podrán acceder a todas las cuentas de Google vinculadas de un usuario accediendo a una sola. Una cosa es segura, los piratas informáticos e incluso Google no podrán ver la información de los usuarios si esta función obtiene soporte E2EE. Mysk, un investigador de seguridad, señaló estos riesgos en Twitter. Dijeron:
“Si alguna vez se produce una filtración de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos de 2FA se verán comprometidos”.
Según los investigadores, Google capaz de acceder a la información de los usuarios para mostrar anuncios personalizados sin E2EE. Aconsejaron a los usuarios que no usen esta función hasta que Google agregue soporte E2EE. A su vez, Brand respondió a los críticos y dijo:
“Si bien Google cifra los datos en tránsito y en reposo en todos nuestros productos, incluido Google Authenticator, la aplicación de E2EE tiene el costo de bloquear a los usuarios sus propios datos sin recuperación.
En este momento, no estamos seguros de cuándo agregará Google la función E2EE a Google Authenticator. Sin embargo, los usuarios tendrán la opción de habilitar esta función sin E2EE, o pueden continuar usándola sin conexión.
Fuente/VIA: