Google Authenticator ora consente di eseguire la sincronizzazione la tua 2FA (autenticazione a due fattori) con il tuo account Google. In questo modo, puoi accedere alle app con il tuo account Google quando il telefono non è disponibile. Tuttavia, i ricercatori di sicurezza asseriscono che questa funzione potrebbe rappresentare un rischio per la sicurezza degli utenti.
Google Authenticator è una delle app più popolari per impostare l’autenticazione a due fattori e ricevere codici. L’app è gratuita, affidabile e supportata da Google. In un recente aggiornamento, Google ha risolto una delle maggiori preoccupazioni degli utenti consentendo loro di sincronizzare l’app Authenticator con il proprio account Google.
L’azienda afferma che questa funzione renderebbe”i codici usa e getta più durevoli memorizzando in modo sicuro negli account Google degli utenti.”I codici 2FA verranno sottoposti a backup in modo sicuro nell’Account Google. Saranno facilmente accessibili quando perdi il telefono o vuoi configurare un nuovo dispositivo.
Naturalmente, Google ti consente comunque di utilizzare l’app Authenticator senza sincronizzarla con il tuo account Google. Inoltre, l’app ha una nuova icona e modifiche al design per una migliore esperienza utente.
I ricercatori di sicurezza mettono in guardia sulla sincronizzazione dell’app Google Authenticator con l’account Google
Anche se la funzione potrebbe portare comodità a utenti, ricercatori di sicurezza presso la società di software Mysk affermano che il traffico nell’app Authenticator non è crittografato end-to-end. Ciò significa che una terza parte, come un dipendente di Google, potrebbe vedere i codici 2FA che utilizzi per accedere agli account. Le cose potrebbero peggiorare se un criminale informatico potesse accedere al tuo account Google.
I ricercatori di Mysk aggiungono inoltre che i codici 2FA contengono altre informazioni come nomi di account e servizi. Google potrebbe utilizzare questi dati per personalizzare gli annunci. Naturalmente, affermano i ricercatori,”le esportazioni di dati di Google non includono i segreti 2FA archiviati nell’account Google dell’utente. Abbiamo scaricato tutti i dati associati all’account Google che abbiamo utilizzato e non abbiamo trovato tracce dei segreti 2FA.”
In risposta ai ricercatori di Mysk, Product Manager per l’identità e la sicurezza di Google Christiaan Brand, ha notato che crittografano i dati in tutti i prodotti, inclusa l’app Authenticator. Tuttavia, afferma che E2EE [crittografia end-to-end] potrebbe impedire agli utenti di accedere ai propri dati senza ripristino. Ecco perché Google ha iniziato a implementare E2EE opzionale per alcuni dei suoi prodotti. Anche l’autenticatore otterrà presto la funzione.
“In questo momento, riteniamo che il nostro prodotto attuale raggiunga il giusto equilibrio per la maggior parte degli utenti e offra vantaggi significativi rispetto all’utilizzo offline.”Marchio aggiunto.”Tuttavia, l’opzione per utilizzare l’app offline rimarrà un’alternativa per coloro che preferiscono gestire autonomamente la propria strategia di backup.”
