L’app gratuita Authenticator di Google è stata a lungo uno dei modi migliori per archiviare i codici temporizzati necessari per i sistemi di autenticazione a due fattori (2FA) utilizzati da molti servizi online. Tuttavia, ha sempre sofferto di una fastidiosa limitazione: questi codici venivano memorizzati solo su qualunque dispositivo utilizzassi.
Sebbene sia difficile discutere contro la sicurezza di un tale approccio, ha reso una seccatura per le persone che volevano accedere ai propri codici a due fattori da più dispositivi, come iPhone e iPad. È stato anche un fastidio durante l’aggiornamento a un iPhone più recente poiché i codici in genere non vengono ripristinati da un backup su un nuovo telefono a causa del modo in cui sono archiviati nell’app.
Inutile dire che è stata una boccata d’aria fresca quando il product manager di Google Christiaan Brand questa settimana ha condiviso la notizia che Google Authenticator può eseguire il backup e sincronizzare i codici usa e getta utilizzando il tuo account Google. Ciò ottiene un meritato”finalmente”se si considera che l’app è stata rilasciata nel 2010 come una delle prime app 2FA sul mercato.
Tuttavia, quell’entusiasmo è stato di breve durata dopo che i ricercatori di sicurezza hanno esaminato più da vicino ciò che Google stava facendo e hanno scoperto che manca di protezioni importanti per l’archiviazione di dati sensibili come i codici 2FA delle persone.
In un lungo tweet (sì, Twitter ora consente ai membri paganti di scrivere saggi), gli sviluppatori e gli analisti della sicurezza su Mysk ha segnalato la mancanza di crittografia end-to-end (E2E) nel nuovo sistema e ha consigliato agli utenti di Google Authenticator di non abilitarla.
Google ha appena aggiornato la sua app 2FA Authenticator e ha aggiunto una funzionalità tanto necessaria: la possibilità di sincronizzare i segreti su tutti i dispositivi.
TL;DR: Non girarlo on.
Il nuovo aggiornamento consente agli utenti di accedere con il proprio account Google e sincronizzare i segreti 2FA sui propri dispositivi iOS e Android.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 26 aprile 2023
Abbiamo analizzato il traffico di rete quando l’app sincronizza i segreti e risulta che il traffico non è crittografato end-to-end. Come mostrato negli screenshot, ciò significa che Google può vedere i segreti, probabilmente anche mentre sono archiviati sui propri server. Non è possibile aggiungere una passphrase per proteggere i segreti, per renderli accessibili solo all’utente.Mysk
Anche se potresti pensare che non ci sia nulla di male nell’esporre i codici 2FA che cambiano ogni 30 secondi , le informazioni di Google Authenticator memorizzate non crittografate nel tuo account Google contengono anche le chiavi segrete, o”seed”, utilizzate per generare questi codici. Ciò significa che chiunque abbia accesso a queste informazioni potrebbe generare gli stessi codici 2FA su un altro dispositivo, portando così a una potenziale compromissione della tua sicurezza.
Naturalmente, dovrebbero comunque conoscere anche la tua password, ma il punto centrale della 2FA è proteggere i tuoi account nel caso in cui la tua password venga intercettata o venga divulgata a causa di una violazione dei dati.
Il lato positivo è che i segreti 2FA non sono inclusi nei dati esportati dal tuo account Google, quindi sono sicuri a tale riguardo, ma c’è ancora il rischio che possano essere esposti in qualche altro modo se un hacker dovesse ottenere l’accesso al tuo account Google.
Inoltre, come osserva il team di Mysk, c’è anche un aspetto della privacy in questo:”Poiché Google può vedere tutti questi dati, sa quali servizi online utilizzi e potrebbe potenzialmente utilizzare queste informazioni per annunci personalizzati.” Le pratiche di data mining di Google sono ben note, quindi non si può presumere che non utilizzerà questi dati per profilare i propri utenti.
Fortunatamente, la nuova funzione di sincronizzazione è interamente attivabile; puoi comunque utilizzare l’app come hai sempre fatto, memorizzando i tuoi segreti solo sul tuo dispositivo. A seguito della segnalazione di problemi di sicurezza, Christiaan Brand di Google ha spiegato perché l’azienda ha scelto di omettere la crittografia end-to-end, osservando che arriva”a costo di consentire agli utenti di rimanere bloccati fuori dai propri dati senza ripristino”. Aggiunge che E2E sta arrivando per Google Authenticator”su tutta la linea”, a quel punto sarai presumibilmente in grado di usarlo in modo sicuro. È meglio evitarlo fino a quando ciò non accade o prendere in considerazione un’app alternativa per la gestione dei codici 2FA.
Abbandona Google Authenticator e usa il portachiavi iCloud
Poiché Google spinge naturalmente la propria app Google Authenticator, molti utenti Gmail sono giunti a credere che questa sia l’app che devono utilizzare per accedere il proprio account Google e altri servizi che utilizzano 2FA.
Tuttavia, nulla potrebbe essere più lontano dalla verità. Certo, Google Authenticator lo gestisce bene ed è in circolazione da così tanto tempo che è diventato uno standard de facto per le credenziali 2FA. Tuttavia, non è di gran lunga l’unico gioco in città.
In effetti, se utilizzi iOS 15 e/o macOS Monterey o versioni successive, puoi abbandonare completamente Google Authenticator e passare a iCloud Keychain, che ha incluso una solida crittografia end-to-end sin dal suo inizio in iOS 7 e OS X Mavericks nel 2013.
Sebbene iCloud Keychain sia stato in grado di archiviare le password in modo sicuro per anni, la capacità di gestire i codici di autenticazione a due fattori è arrivata solo in iOS 15 e negli altri iPadOS che lo accompagnano. e versioni macOS. Tuttavia, questo ora lo rende un sostituto completo di Google Authenticator, soprattutto perché sincronizza già tutte queste informazioni su ogni iPhone, iPad e Mac connesso al tuo account iCloud e può compilare automaticamente questi codici per te in Safari. Apple offre anche un’app per Windows.
Anche i gestori di password di terze parti come 1Password supportano l’archiviazione dei codici 2FA da molto tempo, con le stesse funzionalità di riempimento automatico, quindi se il portachiavi iCloud non è adatto a te, puoi sempre rivolgerti a uno di quelli.
Tuttavia, c’è un argomento valido secondo cui l’archiviazione delle password e dei codici 2FA nella stessa app mantiene tutte le uova in un unico paniere. Una violazione della sicurezza di quell’app darebbe agli hacker tutti i pezzi di cui hanno bisogno per compromettere i tuoi account. Se questo ti preoccupa, allora ci sono una varietà di app 2FA autonome come Authy, autenticazione OTP e TOTP che portano a termine il lavoro. Alcuni offrono persino app Apple Watch per ottenere rapidamente i tuoi codici 2FA dal tuo polso. È qualcosa che Google Authenticator non farà per te.
Tieni presente che non stai davvero migliorando la sicurezza utilizzando un’app 2FA separata se è installata sullo stesso iPhone del tuo gestore di password, a meno che tu non la protegga con una password diversa e supporti la crittografia locale di i tuoi dati OTP. Altrimenti, chiunque metta le mani sul tuo iPhone e possa sbloccarlo può pescare i tuoi codici 2FA da un’app separata ancora più facilmente di quanto possa entrare in un gestore di password più sicuro come 1Password.