Google Authenticator はこれまで安全ではなかったことをご存知ですか?受け入れるのは難しいかもしれませんが、それは本当です。 Google は現在、Google Authenticator にエンドツーエンドの暗号化を追加することを計画しています。数日前、セキュリティ研究者は同社がプレミアム ツールに高レベルのセキュリティを追加していないことを批判しました。
批判に応えて、同社は Google Authenticator にアカウント同期機能を展開しています。 Google プロダクト マネージャーの Christiaan Bran は、自身の Twitter アカウントで、同社が将来 E2EE を提供する予定であると書いています。ブランド氏は次のように書いています。
「今のところ、現在の製品はほとんどのユーザーにとって適切なバランスを取り、オフラインでの使用に比べて大きな利点を提供すると考えています。それでも、アプリケーションをオフラインで使用するオプションは、独自のバックアップ戦略を管理することを好む人にとっては依然として選択肢の 1 つです。
Google Authenticator はエンド ツー エンド認証を取得します…
Google Authenticator に信頼できるセキュリティ機能がないことを知ってショックを受けました。今週初め、このツールはユーザーに 2 要素認証オプションを表示し始めました。このオプションを使用すると、ユーザーは 2 要素認証コードを Google アカウントと同期できます。これにより、ユーザーは新しいデバイスで Google アカウントに簡単にサインインできるようになります。
Gizchina の今週のニュース
これは歓迎すべき変更ですが、セキュリティ上の懸念が生じる可能性があります。この変更により、ハッカーは 1 つのユーザーのリンクされたすべての Google アカウントにアクセスできるようになります。 1 つ確かなことは、この機能が E2EE に対応すれば、ハッカーや Google でさえユーザーの情報を見ることができなくなるということです。セキュリティ研究者の Mysk は、Twitter でこれらのリスクを指摘しました。
「データ侵害が発生したり、誰かがあなたの Google アカウントにアクセスしたりすると、すべての 2FA シークレットが危険にさらされます。」
研究者によると、Google はユーザーの情報にアクセスして、E2EE なしでパーソナライズされた広告を表示できます。 Google が E2EE サポートを追加するまで、この機能を使用しないようにユーザーにアドバイスしました。次に、Brand は批評家に反論し、次のように述べています。
現時点では、Google がいつ E2EE 機能を Google Authenticator に追加するかはわかりません。ただし、ユーザーは E2EE なしでこの機能を有効にするか、この機能をオフラインで引き続き使用するかを選択できます。
出典/VIA: