Google Authenticator で同期が許可されるようになりましたGoogle アカウントを使用した 2FA (二要素認証)。これにより、電話が使用できないときに Google アカウントでアプリにログインできます。ただし、セキュリティ研究者は言うこの機能はユーザーの安全にリスクをもたらす可能性があります。
Google Authenticator は、2 要素認証を設定してコードを受け取るための最も人気のあるアプリの 1 つです。このアプリは無料で信頼性が高く、Google によってサポートされています。 Google は最近の更新で、Authenticator アプリを Google アカウントと同期できるようにすることで、ユーザーの最大の懸念の 1 つに対処しました。ユーザーの Google アカウントに安全に保存されます。」 2FA コードは Google アカウントに安全にバックアップされます。スマートフォンを紛失したり、新しいデバイスをセットアップしたりするときに、簡単にアクセスできます。
もちろん、Google アカウントと同期せずに Authenticator アプリを使用することは引き続き許可されています。さらに、アプリには新しいアイコンとデザインの微調整があり、ユーザー エクスペリエンスが向上しています。
セキュリティ研究者は、Google 認証システム アプリを Google アカウントと同期することについて警告しています
この機能は利便性をもたらす可能性がありますが、ユーザー、ソフトウェア会社 Mysk のセキュリティ研究者は、Authenticator アプリのトラフィックはエンドツーエンドで暗号化されていないと述べています。これは、Google の従業員などの第三者が、アカウントへのログインに使用する 2FA コードを見る可能性があることを意味します。サイバー犯罪者があなたの Google アカウントにアクセスできれば、事態はさらに悪化する可能性があります。
Mysk の研究者はさらに、2FA コードにはアカウントやサービス名などの他の情報が含まれていると付け加えています。 Google はこのデータを使用して広告をパーソナライズできます。もちろん、研究者は「Google データ エクスポートには、ユーザーの Google アカウントに保存されている 2FA シークレットは含まれていません。使用した Google アカウントに関連付けられたすべてのデータをダウンロードしましたが、2FA シークレットの痕跡は見つかりませんでした。」
Google の ID およびセキュリティ担当プロダクト マネージャーである Mysk の研究者への回答 Christiaan Brand は、Authenticator アプリを含むすべての製品でデータを暗号化していると述べています。ただし、E2EE [エンドツーエンドの暗号化] を使用すると、ユーザーが自分のデータを復元せずにロックアウトされる可能性があると彼は言います。そのため、Google は一部の製品でオプションの E2EE の展開を開始しました。 Authenticator も間もなくこの機能を利用できるようになります。
「現時点では、現在の製品はほとんどのユーザーにとって適切なバランスを取り、オフラインでの使用に比べて大きな利点を提供すると考えています。」ブランドが追加されました。 「ただし、アプリをオフラインで使用するオプションは、バックアップ戦略を自分で管理したい人にとっては、代替手段のままです。」
