Google ใช้เวลา 13 ปีในการเพิ่มคุณลักษณะใหม่ให้กับ Google Authenticator เนื่องจากคุณสมบัติการซิงค์ 2FA ผู้ใช้สามารถสำรองลำดับรหัส 2FA ไปยังคลาวด์และกู้คืนไปยังอุปกรณ์ใหม่ได้ เราเดาว่าคงไม่มีใครโต้แย้งความสะดวกสบายของฟีเจอร์ใหม่นี้ แต่มีข้อกังวลด้านความปลอดภัยบางประการ
การซิงค์ 2FA ของ Google ทำให้ความเป็นส่วนตัวของคุณตกอยู่ในอันตรายหรือไม่
เมื่อไม่นานมานี้ นักวิชาการบางคน ที่ Naked Security ของ Sophos และนักพัฒนา iOS ที่ Mysk ได้แบ่งปันความคิดของพวกเขาในเรื่องนี้ พวกเขากล่าวว่าข้อมูล 2FA ของผู้ใช้นั้น “ไม่ได้เข้ารหัสภายในแพ็กเก็ตเครือข่าย HTTPS ของ Google” แม้ว่าข้อมูล 2FA ของคุณจะถูกเก็บเป็นความลับเมื่อคุณส่ง แต่ก็มีปัญหาเมื่อส่งข้อมูลโดยไม่มีการเข้ารหัสไปยังปลายทาง สิ่งนี้ทำให้ Google และผู้อื่นเข้าถึงข้อมูลของคุณได้ ซึ่งรวมถึงใครก็ตามที่มีหมายค้นซึ่งอาจประนีประนอมข้อมูลของผู้ใช้ได้
นอกจากนี้ยังไม่มีวิธีใดที่ผู้ใช้จะเข้ารหัสการอัปโหลดด้วยรหัสผ่านก่อนที่จะออกจากอุปกรณ์ ผู้ไม่ประสงค์ดีจึงสามารถดักจับและเข้าถึงข้อมูลได้โดยไม่ต้องใช้ความพยายาม จากปัญหาด้านความปลอดภัยเหล่านี้ Mysk ขอแนะนำให้ใช้แอปโดยไม่ต้องใช้ฟังก์ชันการซิงค์ใหม่ในตอนนี้
เรามั่นใจว่า Google จะแก้ไขปัญหานี้ในอนาคต แต่ในขณะนี้ การขาดการเข้ารหัสการอัปโหลดถือเป็นข้อบกพร่องด้านความปลอดภัยที่สำคัญ และ Google ควรดำเนินการแก้ไขทันที ดังนั้นเราขอแนะนำให้ผู้อ่านใช้ฟังก์ชันการซิงค์ใหม่ด้วยความระมัดระวัง และสำรวจวิธีอื่นๆ ของ 2FA จนกว่าปัญหาด้านความปลอดภัยจะได้รับการแก้ไข
Gizchina News of the week
ในที่สุด คุณลักษณะใหม่ของ Google Authenticator คือขั้นตอนในการทำให้ 2FA สะดวกยิ่งขึ้นสำหรับผู้ใช้ แต่ไม่ควรมองข้ามข้อกังวลด้านความปลอดภัยที่เกี่ยวข้องกับคุณสมบัตินี้ ในฐานะผู้ใช้ เราต้องระแวดระวังเกี่ยวกับความปลอดภัยของข้อมูลและดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูล
โดยทั่วไปแล้ว ความเป็นส่วนตัวของผู้ใช้เป็นหนึ่งในปัญหาที่ใหญ่ที่สุดในปัจจุบัน คุณไม่สามารถตั้งชื่อบริษัทเดียวที่ไม่ต้องจัดการกับมันได้ ดังนั้น Google จึงไม่ใช่บริษัทสุดท้ายหรือบริษัทเดียวที่ประสบปัญหาเหล่านี้
Google เพิ่งอัปเดตแอป 2FA Authenticator และเพิ่มคุณลักษณะที่จำเป็นมาก: ความสามารถในการซิงค์ความลับระหว่างอุปกรณ์
TL;DR: อย่าเปิดใช้
การอัปเดตใหม่ช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้ด้วยบัญชี Google และซิงค์ข้อมูลลับ 2FA ในอุปกรณ์ iOS และ Android ของตน… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 26 เมษายน 2023
ที่มา/VIA:
