Google の無料の Authenticator アプリは、多くのオンライン サービスで使用される 2 要素認証 (2FA) システムに必要な時限コードを保存するための最良の方法の 1 つとして長い間使用されてきました。ただし、常に 1 つの厄介な制限に悩まされていました。これらのコードは、使用したデバイスにのみ保存されていました。
このようなアプローチのセキュリティに異議を唱えることは困難ですが、iPhone や iPad などの複数のデバイスから 2 要素コードにアクセスしたい人にとっては面倒でした。また、新しい iPhone にアップグレードする際にも厄介でした。これは、コードがアプリにどのように保存されているかにより、通常、コードがバックアップから新しい電話に復元されないためです。
言うまでもなく、Google プロダクト マネージャーの Christiaan Brand が 今週、Google Authenticator が Google アカウントを使用してワンタイム コードをバックアップおよび同期できるというニュースを共有しました。アプリが市場で最初の 2FA アプリの 1 つとして 2010 年にリリースされたことを考えると、これは当然のことながら「ついに」と言えます。
しかし、セキュリティ研究者が Google の取り組みを詳しく調べたところ、人々の 2FA コードと同じくらい機密性の高いデータを保存するための重要な保護が欠けていることが判明したため、その興奮は短命に終わりました。
長いツイート (はい、Twitter 有料メンバーがエッセイを書けるようになりました)、Mysk は、新しいシステムにはエンド ツー エンド暗号化 (E2E) がないことを指摘し、Google 認証システムのユーザーには有効にしないようアドバイスしました。
Google は 2FA Authenticator アプリを更新し、切望されていた機能を追加しました: デバイス間でシークレットを同期する機能です.
TL;DR: 変えないでください.
新しいアップデートにより、ユーザーは Google アカウントでサインインし、iOS および Android デバイス間で 2FA シークレットを同期できます。… pic.twitter.com/a8hhelupZR— ミスク???? (@mysk_co) 2023 年 4 月 26 日
アプリがシークレットを同期するときのネットワーク トラフィックを分析したところ、トラフィックがエンド ツー エンドで暗号化されていないことが判明しました。スクリーンショットに示されているように、これは、おそらくサーバーに保存されている間でも、Google がシークレットを見ることができることを意味します.シークレットを保護するためのパスフレーズを追加して、ユーザーだけがアクセスできるようにするオプションはありません.の場合、Google アカウントに暗号化されずに保存されている Google Authenticator 情報には、これらのコードを生成するために使用される秘密鍵または「シード」も含まれています。これは、この情報にアクセスできる人なら誰でも別のデバイスで同じ 2FA コードを生成できることを意味し、セキュリティが侵害される可能性があります.
もちろん、彼らはあなたのパスワードも知っている必要がありますが、2FA の要点は、データ侵害によってパスワードが傍受されたり漏洩したりした場合にアカウントを保護することです.
良い面として、2FA シークレットは Google アカウントからエクスポートされたデータには含まれていないため、その点では安全ですが、別の方法で公開されるリスクは依然としてあります。ハッカーがあなたの Google アカウントにアクセスすることになっていました。
さらに、Mysk のチームが指摘しているように、これにはプライバシーの側面もあります。 」 Google のデータ マイニングの手法はよく知られているため、このデータを使用してユーザーをプロファイリングしないとは考えられません。
幸いなことに、新しい同期機能は完全にオプトインです。これまでと同じようにアプリを使用して、シークレットをデバイスにのみ保存できます。セキュリティ上の懸念の報告を受けて、Google の Christiaan Brand 同社がエンドツーエンド暗号化を省略した理由を説明、それは「ユーザーが回復せずに自分のデータから締め出されることを犠牲にして」もたらされることを指摘しています。彼は、E2E が Google Authenticator に「将来的に」導入される予定であり、その時点でおそらく安全に使用できるようになるだろうと付け加えています。それが起こるまでそれを避けるか、2FA コードを処理するための代替アプリを検討することをお勧めします.
Google Authenticator をやめて iCloud キーチェーンを使う
Google は当然のことながら独自の Google Authenticator アプリをプッシュしているため、多くの Gmail ユーザーは、これがアクセスに必要なアプリであると信じるようになりました。 2FA を使用する Google アカウントやその他のサービス。
しかし、真実からかけ離れたものは何もありません。確かに、Google Authenticator はそれをうまく処理し、2FA クレデンシャルのデファクト スタンダードになっているほど長い間使用されてきました。ただし、ロングショットによる町での唯一のゲームではありません。
実際、iOS 15 および/または macOS Monterey 以降を使用している場合は、Google Authenticator を完全に捨てて、iCloud キーチェーンに切り替えることができます。iCloud キーチェーンには、最初から堅牢なエンドツーエンドの暗号化が含まれています。
iCloud キーチェーンは何年にもわたってパスワードを安全に保存できましたが、2 要素認証コードを処理する機能は、iOS 15 とそれに付随するその他の iPadOS でのみ実現されました。および macOS のリリース。ただし、特に、iCloud アカウントにサインインしているすべての iPhone、iPad、および Mac でこのすべての情報を既に同期しており、Safari でこれらのコードを自動入力できるため、Google Authenticator の完全な代替品になります。 Apple もそのための Windows アプリを提供しています。
1Password のようなサードパーティのパスワード マネージャーも、同じ自動入力機能を備えた 2FA コードの保存を長い間サポートしてきました。それらの。
ただし、パスワードと 2FA コードを同じアプリに保存すると、すべての卵が 1 つのバスケットに収まるという有効な議論があります。そのアプリのセキュリティ違反は、ハッカーがアカウントを侵害するために必要なすべての要素を提供します.それが気になる場合は、Authy、OTP 認証、および TOTP で仕事を完了できます。 Apple Watch アプリを提供して、手首から 2FA コードをすばやく取得できるものもあります。これは、Google Authenticator ではできないことです。
別の 2FA アプリをパスワード マネージャーと同じ iPhone にインストールした場合、別のパスワードで保護し、ローカルでの暗号化をサポートしない限り、別の 2FA アプリを使用してもセキュリティは実際には向上しないことに注意してください。あなたのOTPデータ。そうしないと、あなたの iPhone を入手してロックを解除できる人は、1Password のようなより安全なパスワード マネージャーにアクセスするよりも、別のアプリから 2FA コードを簡単に盗むことができます.