Google Authenticator teraz pozwala na synchronizację swoje 2FA (uwierzytelnianie dwuskładnikowe) ze swoim kontem Google. W ten sposób możesz zalogować się do aplikacji za pomocą swojego konta Google, gdy telefon jest niedostępny. Jednak badacze bezpieczeństwa twierdzą, że ta funkcja może stanowić zagrożenie dla bezpieczeństwa użytkowników.
Google Authenticator to jedna z najpopularniejszych aplikacji do ustawiania uwierzytelniania dwuskładnikowego i odbierania kodów. Aplikacja jest bezpłatna, niezawodna i obsługiwana przez Google. W ostatniej aktualizacji Google rozwiązało jedną z największych obaw użytkowników, umożliwiając im synchronizację aplikacji Authenticator z ich kontem Google.
Firma twierdzi, że ta funkcja sprawi, że „kody jednorazowe będą bardziej trwałe dzięki przechowywaniu bezpiecznie na kontach Google użytkowników”. Kopie zapasowe kodów 2FA zostaną bezpiecznie zapisane na koncie Google. Będą łatwo dostępne, gdy zgubisz telefon lub będziesz chciał skonfigurować nowe urządzenie.
Oczywiście Google nadal umożliwia korzystanie z aplikacji Authenticator bez synchronizowania jej z kontem Google. Ponadto aplikacja ma nową ikonę i ulepszenia projektowe, aby zapewnić lepszą obsługę.
Badacze bezpieczeństwa ostrzegają przed synchronizacją aplikacji Google Authenticator z kontem Google
Chociaż ta funkcja może zapewnić wygodę użytkowników, badacze bezpieczeństwa w firmie programistycznej Mysk twierdzą, że ruch w aplikacji Authenticator nie jest szyfrowany od końca do końca. Oznacza to, że strona trzecia, na przykład pracownik Google, może zobaczyć kody 2FA, których używasz do logowania się na konta. Sytuacja mogłaby się pogorszyć, gdyby cyberprzestępca mógł uzyskać dostęp do Twojego konta Google.
Badacze Mysk dodają ponadto, że kody 2FA zawierają inne informacje, takie jak nazwy kont i usług. Google może wykorzystywać te dane do personalizowania reklam. Oczywiście badacze twierdzą: „Eksport danych Google nie obejmuje tajemnic 2FA, które są przechowywane na koncie Google użytkownika. Pobraliśmy wszystkie dane powiązane z kontem Google, którego używaliśmy, i nie znaleźliśmy żadnych śladów tajemnic 2FA”.
W odpowiedzi badaczom z Mysk, menedżer produktu Google ds. tożsamości i bezpieczeństwa Christiaan Brand zauważył, że szyfruje dane we wszystkich produktach, w tym w aplikacji Authenticator. Mówi jednak, że E2EE [szyfrowanie typu end-to-end] może uniemożliwić użytkownikom dostęp do ich własnych danych bez odzyskiwania. Właśnie dlatego Google zaczął wprowadzać opcjonalne E2EE dla niektórych swoich produktów. Authenticator również wkrótce otrzyma tę funkcję.
„W tej chwili uważamy, że nasz obecny produkt zapewnia odpowiednią równowagę dla większości użytkowników i zapewnia znaczne korzyści w porównaniu z używaniem offline”. Dodano markę. „Jednakże opcja korzystania z aplikacji w trybie offline pozostanie alternatywą dla tych, którzy wolą samodzielnie zarządzać strategią tworzenia kopii zapasowych”.
