Google heeft aangekondigd op zijn beveiligingsblog dat de Authenticator-app van het bedrijf krijgt niet alleen een herontwerp met een nieuw, gemoderniseerd logo, maar ook, en tot slot, accountsynchronisatie voor uw codes! De app synchroniseerde nooit je authenticatiecodes in de cloud, wat niet alleen tot veel frustratie en ergernis leidde bij het instellen, maar als je van telefoon wisselt of upgradet, moet de app opnieuw worden ingesteld, waardoor veel mensen geen toegang meer hebben tot hun accounts waarvoor deze codes nodig zijn.
“Een belangrijke feedback die we in de loop der jaren van gebruikers hebben gehoord, was de complexiteit bij het omgaan met verloren of gestolen apparaten waarop Google Authenticator was geïnstalleerd. Omdat eenmalige codes in Authenticator slechts op één apparaat werden opgeslagen, betekende verlies van dat apparaat dat gebruikers niet meer konden inloggen bij elke service waarop ze 2FA hadden ingesteld met Authenticator.”
Dit is geweldig en zo, maar in een vreemde wending zijn deze codes, hoewel gesynchroniseerd met uw Google-account voor eenvoudiger instellen en oproepen op nieuwe apparaten, niet end-to-end gecodeerd! Dit is een grote misstap van Google en gebruikers beginnen te merken dat deze oplossing halfbakken is.
Door geen E2E-codering te hebben, kunnen deze mogelijk worden blootgesteld of onderschept door kwaadwillende derden. Volgens Mysk op Twitter, die Gizmodo over het ontbreken van codering, ze “analyseerden het netwerkverkeer wanneer de app de geheimen synchroniseert, en het blijkt het verkeer is niet end-to-end versleuteld,” en verklaarde: “Dit betekent dat Google de geheimen kan zien, waarschijnlijk zelfs terwijl ze op hun servers zijn opgeslagen. Er is geen optie om een wachtwoordzin toe te voegen om de geheimen te beschermen, om ze alleen toegankelijk te maken voor de gebruiker. naar een blootgestelde”seed”die wordt gebruikt om uw codes te genereren. Door dat zaad te bemachtigen, kan iedereen zijn eigen codes voor uw account maken en deze gebruiken om toegang te krijgen. Dit betekent natuurlijk dat als Google zou worden gehackt en iemand toegang zou krijgen tot de servergegevens waar deze informatie van jou was opgeslagen, ze direct toegang zouden hebben tot al je spullen.
Google reageerde snel. naar deze situatie via CNET waarin staat dat het nog steeds van plan is om E2E-codering op tijd uit te rollen naar zijn Authenticator-app en dat het accountsynchronisatie heeft toegevoegd voor”gemak”, hoewel het botst met het idee om gebruikers op afstand te houden van risico’s en beveiligingsproblemen.
(1/4) We zijn altijd gefocust op de veiligheid en beveiliging van @ Google-gebruikers en de nieuwste updates voor Google Authenticator waren geen uitzondering. Ons doel is functies aan te bieden die gebruikers beschermen, MAAR nuttig en handig zijn.
— Christiaan Brand (@christiaanbrand) 26 april 2023
Je kunt de app nog steeds gebruiken zonder je geheime codes te synchroniseren, wat betekent dat voor alle gebruikers die dit wel zien (er zijn er veel die onbewust hun accounts synchroniseren) hoe dan ook), zou ik je aanraden om het te gebruiken zoals je altijd hebt gedaan-afgesneden van de servers van Google. Laat het me in de reacties weten als je de Google Authenticator überhaupt gebruikt, of als je bent overgestapt op andere oplossingen zoals Authy.
