Google Authenticator kini membolehkan anda menyegerak 2FA anda (pengesahan dua faktor) dengan Akaun Google anda. Dengan cara ini, anda boleh log masuk ke apl dengan Akaun Google anda apabila telefon tidak tersedia. Walau bagaimanapun, penyelidik keselamatan mengatakan ciri ini mungkin menimbulkan risiko kepada keselamatan pengguna.
Google Authenticator ialah salah satu apl paling popular untuk menetapkan pengesahan dua faktor dan menerima kod. Apl ini percuma, boleh dipercayai dan disokong oleh Google. Dalam kemas kini baru-baru ini, Google telah menangani salah satu kebimbangan pengguna terbesar dengan membenarkan mereka menyegerakkan apl Pengesah dengan Akaun Google mereka.
Syarikat itu berkata ciri ini akan menjadikan”kod satu kali lebih tahan lama dengan menyimpan mereka dengan selamat dalam Akaun Google pengguna.” Kod 2FA akan disandarkan dengan selamat dalam Akaun Google. Ia akan mudah diakses apabila anda kehilangan telefon anda atau ingin menyediakan peranti baharu.
Sudah tentu, Google masih membenarkan anda menggunakan apl Authenticator tanpa menyegerakkannya dengan Akaun Google anda. Selain itu, apl itu mempunyai ikon baharu dan tweak reka bentuk untuk pengalaman pengguna yang lebih baik.
Penyelidik keselamatan memberi amaran tentang menyegerakkan apl Pengesah Google dengan Akaun Google
Walaupun ciri itu boleh membawa kemudahan kepada pengguna, penyelidik keselamatan di syarikat perisian Mysk berkata trafik dalam apl Pengesah tidak disulitkan hujung ke hujung. Ini bermakna pihak ketiga, seperti pekerja Google, boleh melihat kod 2FA yang anda gunakan untuk log masuk ke akaun. Keadaan boleh menjadi lebih teruk jika penjenayah siber boleh mengakses Akaun Google anda.
Penyelidik Mysk seterusnya menambah bahawa kod 2FA mengandungi maklumat lain seperti nama akaun dan perkhidmatan. Google boleh menggunakan data ini untuk memperibadikan iklan. Sudah tentu, penyelidik berkata,”Eksport data Google tidak termasuk rahsia 2FA yang disimpan dalam Akaun Google pengguna. Kami memuat turun semua data yang dikaitkan dengan akaun Google yang kami gunakan dan kami tidak menemui sebarang kesan rahsia 2FA.”
Sebagai tindak balas kepada penyelidik Mysk, Pengurus Produk Google untuk Identiti dan Keselamatan Christiaan Brand, menyatakan bahawa mereka menyulitkan data dalam semua produk, termasuk apl Authenticator. Walau bagaimanapun, dia mengatakan bahawa E2EE [penyulitan hujung ke hujung] boleh menyebabkan pengguna terkunci daripada data mereka sendiri tanpa pemulihan. Itulah sebabnya Google mula melancarkan E2EE pilihan untuk beberapa produknya. Pengesah juga akan mendapat ciri itu tidak lama lagi.
“Pada masa ini, kami percaya bahawa produk semasa kami mencapai keseimbangan yang tepat untuk kebanyakan pengguna dan memberikan faedah yang ketara berbanding penggunaan luar talian.” Jenama ditambah. “Walau bagaimanapun, pilihan untuk menggunakan apl luar talian akan kekal sebagai alternatif bagi mereka yang lebih suka mengurus sendiri strategi sandaran mereka.”