Google เพิ่งประกาศในบล็อกความปลอดภัยว่า แอป Authenticator ของบริษัทไม่เพียงได้รับการออกแบบใหม่ด้วยโลโก้ใหม่ที่ทันสมัยเท่านั้น แต่ยังรวมถึง การซิงโครไนซ์บัญชีสำหรับรหัสของคุณในที่สุด! แอปไม่เคยใช้เพื่อซิงค์รหัสยืนยันตัวตนของคุณบนคลาวด์ ซึ่งนำไปสู่ความยุ่งยากและความรำคาญมากมาย ไม่เพียงแต่เมื่อตั้งค่าเท่านั้น แต่หากคุณเปลี่ยนโทรศัพท์หรืออัปเกรด แอปจะต้องได้รับการตั้งค่าอีกครั้ง ทำให้ผู้คนจำนวนมากถูกล็อคไม่ให้เข้าใช้ บัญชีที่ต้องใช้รหัสเหล่านี้
“ข้อเสนอแนะที่สำคัญอย่างหนึ่งที่เราได้รับจากผู้ใช้ในช่วงหลายปีที่ผ่านมาคือความซับซ้อนในการจัดการกับอุปกรณ์ที่สูญหายหรือถูกขโมยซึ่งติดตั้ง Google Authenticator เนื่องจากรหัสที่ใช้ครั้งเดียวใน Authenticator นั้นถูกจัดเก็บไว้ในอุปกรณ์เพียงเครื่องเดียว การสูญหายของอุปกรณ์นั้นหมายความว่าผู้ใช้ไม่สามารถลงชื่อเข้าใช้บริการใด ๆ ที่พวกเขาตั้งค่า 2FA โดยใช้ Authenticator”
นี่เป็นสิ่งที่ดีและทั้งหมดนี้ แต่ที่แปลกคือ รหัสเหล่านี้ในขณะที่ซิงค์กับบัญชี Google ของคุณเพื่อการตั้งค่าที่ง่ายขึ้นและเรียกคืนบนอุปกรณ์ใหม่ ไม่ได้รับการเข้ารหัสจากต้นทางถึงปลายทาง! นี่เป็นความผิดพลาดครั้งใหญ่ของ Google และผู้ใช้เริ่มสังเกตเห็นว่าโซลูชันนี้ใช้งานได้ครึ่งๆ กลางๆ
หากไม่มีการเข้ารหัส E2E สิ่งเหล่านี้อาจถูกเปิดเผยหรือสกัดกั้นโดยบุคคลที่สามที่เป็นอันตราย ตาม Mysk บน Twitter ที่บอกกับ Gizmodo เกี่ยวกับการขาดการเข้ารหัส พวกเขา”วิเคราะห์การรับส่งข้อมูลเครือข่ายเมื่อแอปซิงค์ข้อมูลลับ และปรากฎว่า ทราฟฟิกไม่ได้รับการเข้ารหัสจากต้นทางถึงปลายทาง” และกล่าวว่า “นั่นหมายความว่า Google สามารถมองเห็นความลับได้ แม้ว่าจะถูกเก็บไว้ในเซิร์ฟเวอร์ก็ตาม ไม่มีตัวเลือกในการเพิ่มข้อความรหัสผ่านเพื่อป้องกันความลับ และทำให้เข้าถึงได้โดยผู้ใช้เท่านั้น”
โดยพื้นฐานแล้ว การสำรองรหัสลับของคุณ Google สามารถดูข้อมูลดิบบนเซิร์ฟเวอร์ได้ด้วย ขอบคุณ ให้กับ”เมล็ดพันธุ์”ที่เปิดเผยซึ่งใช้ในการสร้างรหัสของคุณ เมื่อได้รับเมล็ดนั้น ทุกคนสามารถสร้างรหัสของตนเองสำหรับบัญชีของคุณและใช้เพื่อเข้าถึง แน่นอนว่า นี่หมายความว่าหาก Google ถูกแฮ็กและมีคนเข้าถึงข้อมูลเซิร์ฟเวอร์ของตนที่เก็บข้อมูลนี้ของคุณไว้ พวกเขาจะสามารถเข้าถึงข้อมูลทั้งหมดของคุณได้โดยตรง
Google ตอบสนองอย่างรวดเร็ว ถึงสถานการณ์นี้ผ่าน CNET โดยระบุว่ายังคงวางแผนที่จะเปิดตัวการเข้ารหัส E2E ไปยังแอพ Authenticator ในเวลาที่เหมาะสม และเพิ่มการซิงค์บัญชีเพื่อ”ความสะดวก”แม้ว่ามันจะขัดแย้งกับแนวคิดในการรักษาผู้ใช้ให้อยู่ในขอบเขตของความเสี่ยงและความกังวลด้านความปลอดภัย.
(1/4) เราให้ความสำคัญกับความปลอดภัยและความปลอดภัยของ @ ผู้ใช้ Google และการอัปเดตล่าสุดของ Google Authenticator ก็ไม่มีข้อยกเว้น เป้าหมายของเราคือการนำเสนอฟีเจอร์ที่ปกป้องผู้ใช้ แต่มีประโยชน์และสะดวกสบาย
— Christianaan Brand (@christiaanbrand) 26 เมษายน 2023
คุณยังคงใช้แอปได้โดยไม่ต้องซิงค์รหัสลับ ซึ่งหมายความว่าสำหรับผู้ใช้ที่เห็นสิ่งนี้ (มีหลายคนที่จะซิงค์บัญชีของตนโดยไม่เจตนา ยังไงก็ตาม) ฉันขอแนะนำให้คุณใช้วิธีที่คุณทำมาตลอด – ตัดขาดจากเซิร์ฟเวอร์ของ Google แจ้งให้เราทราบในความคิดเห็น หากคุณใช้ Google Authenticator เลย หรือหากคุณเปลี่ยนไปใช้โซลูชันอื่นๆ เช่น Authy
