Google ha appena annunciato sul suo blog sulla sicurezza che l’app Authenticator dell’azienda sta ricevendo non solo una riprogettazione con un nuovo logo modernizzato, ma anche, e finalmente, la sincronizzazione dell’account per i tuoi codici! L’app non è mai stata utilizzata per sincronizzare nel cloud i tuoi codici di autenticazione, causando molta frustrazione e fastidio non solo durante la configurazione, ma se cambi telefono o aggiorni, l’app deve essere configurata di nuovo, portando molte persone a essere bloccate fuori dal loro account che richiedono questi codici.
“Uno dei feedback più importanti che abbiamo ricevuto dagli utenti nel corso degli anni è stata la complessità nella gestione dei dispositivi smarriti o rubati su cui era installato Google Authenticator. Poiché i codici monouso in Authenticator venivano archiviati solo su un singolo dispositivo, la perdita di quel dispositivo significava che gli utenti perdevano la possibilità di accedere a qualsiasi servizio su cui avevano configurato 2FA utilizzando Authenticator.”
È fantastico e tutto, ma stranamente questi codici, sebbene sincronizzati con il tuo account Google per una configurazione e un richiamo più semplici sui nuovi dispositivi, non sono crittografati end-to-end! Questo è un grande passo falso di Google e gli utenti stanno iniziando a notare che questa soluzione è a metà.
Non avendo la crittografia E2E, questi potrebbero essere potenzialmente esposti o intercettati da terze parti malintenzionate. Secondo Mysk su Twitter, che ha detto a Gizmodo a proposito della mancanza di crittografia,”hanno analizzato il traffico di rete quando l’app sincronizza i segreti, e risulta il traffico non è crittografato end-to-end”, e ha affermato:”Ciò significa che Google può vedere i segreti, probabilmente anche mentre sono archiviati sui propri server. Non è possibile aggiungere una passphrase per proteggere i segreti, per renderli accessibili solo all’utente.
In sostanza, eseguendo il backup dei codici segreti, Google potrebbe persino visualizzarli non elaborati sui propri server grazie a un”seme”esposto utilizzato per generare i tuoi codici. Ottenendo quel seme, chiunque potrebbe creare i propri codici per il tuo account e utilizzarli per ottenere l’accesso. Ovviamente, ciò significa che se Google venisse violato e qualcuno venisse a conoscenza dei dati del suo server in cui sono archiviate queste tue informazioni, avrebbe accesso diretto a tutti i tuoi contenuti.
Google è stata rapida nel rispondere a questa situazione tramite CNET affermando che sta ancora pianificando di implementare la crittografia E2E nella sua app Authenticator in tempo e che ha aggiunto la sincronizzazione dell’account per”comodità”anche se si scontra con l’idea stessa di mantenere gli utenti a distanza da rischi e problemi di sicurezza.
(1/4) Ci concentriamo sempre sulla sicurezza e sulla protezione di @ utenti di Google e gli ultimi aggiornamenti di Google Authenticator non hanno fatto eccezione. Il nostro obiettivo è offrire funzionalità che proteggano gli utenti, MA siano utili e convenienti.
— Christiaan Brand (@christiaanbrand) 26 aprile 2023
Puoi ancora utilizzare l’app senza sincronizzare i tuoi codici segreti, il che significa che per tutti gli utenti che vedono questo (ce ne sono molti che sincronizzeranno inconsapevolmente i loro account comunque), ti consiglierei di usarlo come hai sempre fatto: tagliato fuori dai server di Google. Fammi sapere nei commenti se utilizzi Google Authenticator o se sei passato ad altre soluzioni come Authy.
