Bezpłatna aplikacja Google Authenticator od dawna jest jednym z najlepszych sposobów przechowywania kodów czasowych potrzebnych do systemów uwierzytelniania dwuskładnikowego (2FA) używanych przez wiele usług online. Jednak zawsze miał jedno irytujące ograniczenie: te kody były przechowywane tylko na dowolnym używanym urządzeniu.
Chociaż trudno kwestionować bezpieczeństwo takiego podejścia, sprawiało ono kłopot osobom, które chciały uzyskać dostęp do swoich kodów dwuskładnikowych z wielu urządzeń, takich jak iPhone i iPad. Było to również uciążliwe podczas aktualizacji do nowszego iPhone’a, ponieważ kody zazwyczaj nie są przywracane z kopii zapasowej na nowy telefon ze względu na sposób ich przechowywania w aplikacji.
Nie trzeba dodawać, że to był powiew świeżości, gdy menedżer produktu Google, Christiaan Brand, przekazał w tym tygodniu wiadomość, że Google Authenticator może tworzyć kopie zapasowe i synchronizować kody jednorazowe przy użyciu konta Google. To zasłużone „wreszcie”, jeśli wziąć pod uwagę, że aplikacja została wydana w 2010 roku jako jedna z pierwszych aplikacji 2FA na rynku.
Jednak to podekscytowanie było krótkotrwałe, gdy badacze bezpieczeństwa przyjrzeli się bliżej temu, co robi Google i odkryli, że brakuje mu ważnych zabezpieczeń do przechowywania danych tak wrażliwych, jak kody 2FA.
W długim tweecie (tak, Twitter teraz pozwala płacącym członkom pisać eseje), programiści i analitycy bezpieczeństwa na Mysk zwrócił uwagę na brak pełnego szyfrowania (E2E) w nowym systemie i poradził użytkownikom Google Authenticator, aby go nie włączali.
Google właśnie zaktualizowało swoją aplikację 2FA Authenticator i dodało bardzo potrzebną funkcję: możliwość synchronizowania tajemnic między urządzeniami.
TL;DR: Nie włączaj jej wł.
Nowa aktualizacja umożliwia użytkownikom logowanie się za pomocą konta Google i synchronizowanie tajnych funkcji 2FA na urządzeniach z systemem iOS i Android.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 26 kwietnia 2023 r.
Przeanalizowaliśmy ruch sieciowy, gdy aplikacja synchronizuje sekrety, i okazało się, że ruch nie jest szyfrowany od końca do końca. Jak pokazano na zrzutach ekranu, oznacza to, że Google może zobaczyć tajemnice, prawdopodobnie nawet wtedy, gdy są one przechowywane na ich serwerach. Nie ma możliwości dodania hasła w celu ochrony tajemnic, aby były dostępne tylko dla użytkownika.Mysk
Możesz pomyśleć, że nie ma nic złego w ujawnianiu kodów 2FA, które zmieniają się co 30 sekund , informacje Google Authenticator przechowywane w postaci niezaszyfrowanej na Twoim koncie Google zawierają również tajne klucze lub „zarodki” używane do generowania tych kodów. Oznacza to, że każdy, kto ma dostęp do tych informacji, może wygenerować te same kody 2FA na innym urządzeniu, prowadząc w ten sposób do potencjalnego zagrożenia bezpieczeństwa.
Oczywiście nadal będą musieli znać Twoje hasło, ale celem 2FA jest zabezpieczenie kont na wypadek przechwycenia hasła lub wycieku w wyniku naruszenia bezpieczeństwa danych.
Z drugiej strony, tajne testy 2FA nie są uwzględniane w danych eksportowanych z Twojego konta Google, więc są pod tym względem bezpieczne, ale nadal istnieje ryzyko, że mogą zostać ujawnione w inny sposób, jeśli haker miał uzyskać dostęp do Twojego konta Google.
Ponadto, jak zauważa zespół Mysk, ma to również aspekt prywatności: „Ponieważ Google widzi wszystkie te dane, wie, z jakich usług online korzystasz, i może potencjalnie wykorzystać te informacje do spersonalizowanych reklam ”. Praktyki eksploracji danych stosowane przez Google są dobrze znane, więc nie można zakładać, że Google nie wykorzysta tych danych do profilowania swoich użytkowników.
Na szczęście nowa funkcja synchronizacji jest całkowicie opcjonalna; nadal możesz korzystać z aplikacji tak jak zawsze, przechowując swoje sekrety tylko na swoim urządzeniu. W związku ze zgłoszeniem obaw związanych z bezpieczeństwem Christiaan Brand firmy Google wyjaśnienie, dlaczego firma zdecydowała się pominąć kompleksowe szyfrowanie, zauważając, że odbywa się to „kosztem umożliwienia użytkownikom zablokowania ich własnych danych bez odzyskiwania”. Dodaje, że E2E nadchodzi dla Google Authenticator „w dół”, w którym to momencie prawdopodobnie będziesz mógł z niego bezpiecznie korzystać. Najlepiej tego unikać, dopóki to się nie stanie, lub rozważyć alternatywną aplikację do obsługi kodów 2FA.
Porzuć Google Authenticator i używaj pęku kluczy iCloud
Ponieważ Google w naturalny sposób promuje własną aplikację Google Authenticator, wielu użytkowników Gmaila uwierzyło, że jest to aplikacja, z której muszą korzystać, aby uzyskać dostęp ich konto Google i inne usługi korzystające z 2FA.
Jednak nic nie może być dalsze od prawdy. Jasne, Google Authenticator radzi sobie z tym dobrze i istnieje od tak dawna, że stał się de facto standardem dla danych uwierzytelniających 2FA. Nie jest to jednak jedyna gra w mieście.
W rzeczywistości, jeśli używasz systemu iOS 15 i/lub macOS Monterey lub nowszego, możesz całkowicie zrezygnować z Google Authenticator i przejść do pęku kluczy iCloud, który od samego początku zapewnia solidne, kompleksowe szyfrowanie w iOS 7 i OS X Mavericks w 2013 r.
Podczas gdy iCloud Keychain był w stanie bezpiecznie przechowywać hasła przez lata, możliwość obsługi kodów uwierzytelniania dwuskładnikowego pojawiła się dopiero w iOS 15 i innych towarzyszących iPadOS i wersje macOS. Jednak to teraz całkowicie zastępuje Google Authenticator, zwłaszcza że synchronizuje już wszystkie te informacje na każdym iPhonie, iPadzie i komputerze Mac zalogowanym na koncie iCloud i może automatycznie wypełniać te kody w Safari. Apple oferuje również aplikację dla systemu Windows.
Menedżery haseł innych firm, takie jak 1Password, również obsługują przechowywanie kodów 2FA przez długi czas, z tymi samymi funkcjami autouzupełniania, więc jeśli pęk kluczy iCloud nie wystarcza, zawsze możesz zwrócić się do jednego z te.
Istnieje jednak ważny argument, że przechowywanie haseł i kodów 2FA w tej samej aplikacji sprawia, że wszystkie jajka znajdują się w jednym koszyku. Naruszenie bezpieczeństwa tej aplikacji dałoby hakerom wszystkie elementy potrzebne do naruszenia bezpieczeństwa Twoich kont. Jeśli Cię to dotyczy, istnieje wiele niezależnych aplikacji 2FA, takich jak Authy, Uwierzytelnianie OTP i TOTP, które wykonają zadanie. Niektóre oferują nawet aplikacje Apple Watch, aby szybko uzyskać kody 2FA z nadgarstka. To jest coś, czego Google Authenticator nie zrobi za Ciebie.
Pamiętaj tylko, że korzystanie z oddzielnej aplikacji 2FA nie poprawia bezpieczeństwa, jeśli jest zainstalowane na tym samym iPhonie co menedżer haseł, chyba że chronisz ją innym hasłem i obsługuje lokalne szyfrowanie Twoje dane OTP. W przeciwnym razie każdy, kto dostanie w swoje ręce iPhone’a i może go odblokować, może wyłowić twoje kody 2FA z oddzielnej aplikacji jeszcze łatwiej niż dostać się do bezpieczniejszego menedżera haseł, takiego jak 1Password.