A Google Hitelesítő most lehetővé teszi a szinkronizálást a 2FA (kéttényezős hitelesítés) a Google Fiókjával. Így Google Fiókjával bejelentkezhet az alkalmazásokba, amikor a telefon nem elérhető. A biztonsági kutatók azonban állítása szerint ez a funkció kockázatot jelenthet a felhasználók biztonságára nézve.
A Google Authenticator az egyik legnépszerűbb alkalmazás a kétfaktoros hitelesítés beállítására és a kódok fogadására. Az alkalmazás ingyenes, megbízható, és a Google támogatja. Egy közelmúltbeli frissítésben a Google megoldotta az egyik legnagyobb felhasználói aggályt, lehetővé téve számukra, hogy szinkronizálják a Hitelesítő alkalmazást Google-fiókjukkal.
A vállalat szerint ez a funkció tartósabbá tenné az egyszeri kódokat, ha tárolná őket. biztonságosan a felhasználók Google-fiókjában.” A 2FA-kódokról biztonságosan mentünk a Google Fiókban. Könnyen elérhetők lesznek, ha elveszíti telefonját, vagy új eszközt szeretne beállítani.
Természetesen a Google továbbra is lehetővé teszi a Hitelesítő alkalmazás használatát anélkül, hogy szinkronizálná a Google Fiókjával. Ezenkívül az alkalmazás új ikont és tervezési finomításokat kapott a jobb felhasználói élmény érdekében.
A biztonsági kutatók arra figyelmeztetnek, hogy a Google Hitelesítő alkalmazást szinkronizálják a Google-fiókkal
Bár a funkció kényelmesebbé teheti felhasználók, a Mysk szoftvercég biztonsági kutatói szerint az Authenticator alkalmazásban a forgalom nincs végponttól végpontig titkosítva. Ez azt jelenti, hogy egy harmadik fél, például a Google alkalmazottai láthatják a fiókokba való bejelentkezéshez használt 2FA kódokat. A helyzet még rosszabbra fordulhat, ha egy számítógépes bûnözõ hozzáférhet az Ön Google-fiókjához.
A Mysk kutatói hozzáteszik továbbá, hogy a 2FA kódok más információkat is tartalmaznak, például fiók-és szolgáltatásneveket. A Google felhasználhatja ezeket az adatokat a hirdetések személyre szabására. Természetesen a kutatók azt mondják: „A Google adatexportálása nem tartalmazza a 2FA titkokat, amelyeket a felhasználó Google-fiókjában tárolnak. Letöltöttük az általunk használt Google-fiókkal kapcsolatos összes adatot, és nem találtuk a 2FA titkainak nyomát.”
A Mysk kutatóinak válaszolva, a Google személyazonosságért és biztonságért felelős termékmenedzsere Christiaan Brand megjegyezte, hogy minden termékben titkosítják az adatokat, beleértve a Hitelesítő alkalmazást is. Azt mondja azonban, hogy az E2EE [végpontok közötti titkosítás] visszaállítás nélkül kizárhatja a felhasználókat saját adataikból. Ezért kezdte el a Google az opcionális E2EE bevezetését egyes termékeihez. A Hitelesítő is hamarosan megkapja ezt a funkciót.
„Jelenleg úgy gondoljuk, hogy jelenlegi termékünk a legtöbb felhasználó számára megfelelő egyensúlyt biztosít, és jelentős előnyöket biztosít az offline használathoz képest.” Márka hozzáadva. „Az alkalmazás offline használatának lehetősége azonban továbbra is alternatíva marad azok számára, akik inkább maguk kezelik biztonsági mentési stratégiájukat.”
