Ang libreng Authenticator app ng Google ay matagal nang isa sa mga pinakamahusay na paraan upang mag-imbak ng mga naka-time na code na kailangan para sa mga two-factor authentication (2FA) system na ginagamit ng maraming online na serbisyo. Gayunpaman, palagi itong dumaranas ng isang nakakainis na limitasyon: ang mga code na ito ay nakaimbak lamang sa anumang device na ginamit mo.
Bagama’t mahirap makipagtalo laban sa seguridad ng naturang diskarte, naging abala ito para sa mga taong gustong i-access ang kanilang mga two-factor code mula sa maraming device, gaya ng iPhone at iPad. Ito rin ay isang istorbo kapag nag-a-upgrade sa isang mas bagong iPhone dahil ang mga code ay karaniwang hindi maibabalik mula sa isang backup sa isang bagong telepono dahil sa kung paano sila nakaimbak sa app.
Hindi na kailangang sabihin, ito ay isang hininga ng sariwang hangin nang ang Google product manager na si Christiaan Brand ibinahagi ang balita ngayong linggo na maaaring i-back up at i-sync ng Google Authenticator ang mga minsanang code gamit ang iyong Google Account. Iyon ay makakakuha ng isang karapat-dapat na”sa wakas”kapag isinasaalang-alang mo ang app na inilabas noong 2010 bilang isa sa mga unang 2FA na app sa merkado.
Gayunpaman, ang pananabik na iyon ay panandalian matapos suriing mabuti ng mga mananaliksik ng seguridad kung ano ang ginagawa ng Google at natuklasang wala itong mahahalagang proteksyon para sa pag-iimbak ng data na kasing sensitibo ng mga 2FA code ng mga tao.
Sa isang mahabang tweet (oo, Twitter hinahayaan na ngayon ang mga nagbabayad na miyembro na magsulat ng mga sanaysay), ang mga developer at security analyst sa Mysk ang kakulangan ng end-to-end encryption (E2E) sa bagong system at pinayuhan ang mga user ng Google Authenticator na huwag paganahin ito.
Kaka-update lang ng Google sa 2FA Authenticator app nito at nagdagdag ng kinakailangang feature: ang kakayahang mag-sync ng mga lihim sa mga device.
TL;DR: Huwag itong i-on naka-on.
Ang bagong update ay nagbibigay-daan sa mga user na mag-sign in gamit ang kanilang Google Account at mag-sync ng mga lihim ng 2FA sa kanilang iOS at Android device.… pic.twitter.com/a8hheupZR— Mysk ???? (@mysk_co) Abril 26, 2023
Sinuri namin ang trapiko sa network kapag sini-sync ng app ang mga lihim, at lumalabas na ang trapiko ay hindi end-to-end na naka-encrypt. Gaya ng ipinapakita sa mga screenshot, nangangahulugan ito na makikita ng Google ang mga lihim, malamang kahit na nakaimbak ang mga ito sa kanilang mga server. Walang opsyon na magdagdag ng passphrase para protektahan ang mga lihim, para gawing accessible lang ng user ang mga ito. , ang impormasyon ng Google Authenticator na nakaimbak na hindi naka-encrypt sa iyong Google Account ay naglalaman din ng mga lihim na key, o”mga buto,”na ginagamit upang buuin ang mga code na ito. Nangangahulugan ito na ang sinumang may access sa impormasyong ito ay maaaring makabuo ng parehong mga 2FA code sa isa pang device, na humahantong sa isang potensyal na kompromiso ng iyong seguridad.
Siyempre, kailangan pa rin nilang malaman ang iyong password, ngunit ang buong punto ng 2FA ay i-secure ang iyong mga account kung sakaling maharang ang iyong password o lumabas dahil sa paglabag sa data.
Sa kabilang banda, ang mga lihim ng 2FA ay hindi kasama sa data na na-export mula sa iyong Google Account, kaya ligtas ang mga ito sa bagay na iyon, ngunit may panganib pa rin na malantad ang mga ito sa ibang paraan kung ang isang ang hacker ay upang makakuha ng access sa iyong Google Account.
Dagdag pa, gaya ng sinabi ng koponan sa Mysk, mayroon ding aspeto ng privacy dito: “Dahil nakikita ng Google ang lahat ng data na ito, alam nito kung aling mga online na serbisyo ang ginagamit mo, at posibleng gamitin ang impormasyong ito para sa mga personalized na ad.” Ang mga kasanayan sa pagmimina ng data ng Google ay kilalang-kilala, kaya hindi maaaring ipagpalagay na hindi nito gagamitin ang data na ito upang i-profile ang mga user nito.
Sa kabutihang palad, ang bagong tampok na pag-sync ay ganap na nag-opt-in; maaari mo pa ring gamitin ang app tulad ng dati, na iniimbak ang iyong mga lihim lamang sa iyong device. Kasunod ng ulat ng mga alalahanin sa seguridad, ang Christiaan Brand ng Google ipinaliwanag kung bakit pinili ng kumpanya na alisin ang end-to-end na pag-encrypt, na binabanggit na ito ay”sa halaga ng pagpapagana sa mga user na ma-lock out sa kanilang sariling data nang walang pagbawi.”Idinagdag niya na ang E2E ay darating para sa Google Authenticator”down the line,”sa puntong iyon ay malamang na magagamit mo ito nang ligtas. Pinakamainam na iwasan ito hanggang sa mangyari iyon o isaalang-alang ang isang alternatibong app para sa paghawak ng iyong mga 2FA code.
Iwaksi ang Google Authenticator at Gamitin ang iCloud Keychain
Dahil natural na itinutulak ng Google ang sarili nitong Google Authenticator app, maraming user ng Gmail ang naniwala na ito ang app na kailangan nilang gamitin para ma-access kanilang Google Account at iba pang mga serbisyo na gumagamit ng 2FA.
Gayunpaman, wala nang hihigit pa sa katotohanan. Oo naman, mahusay na pinangangasiwaan ng Google Authenticator iyon, at matagal na itong naging de facto na pamantayan para sa mga kredensyal ng 2FA. Gayunpaman, hindi lamang ito ang laro sa bayan sa pamamagitan ng isang mahabang pagbaril.
Sa katunayan, kung gumagamit ka ng iOS 15 at/o macOS Monterey o mas bago, maaari mong alisin nang buo ang Google Authenticator at lumipat sa iCloud Keychain, na may kasamang matatag na end-to-end na pag-encrypt mula noong ito ay nagsimula. sa iOS 7 at OS X Mavericks noong 2013.
Habang ang iCloud Keychain ay nakapag-imbak ng mga password nang ligtas sa loob ng maraming taon, ang kakayahang pangasiwaan ang mga two-factor na authentication code ay dumating lamang sa iOS 15 at sa iba pang kasama nitong iPadOS at mga release ng macOS. Gayunpaman, ginagawa na nitong ganap na kapalit ang Google Authenticator, lalo na dahil sini-sync na nito ang lahat ng impormasyong ito sa bawat iPhone, iPad, at Mac na naka-sign in sa iyong iCloud account at maaaring i-autofill ang mga code na ito para sa iyo sa Safari. Nag-aalok din ang Apple ng Windows app para dito.
Sinusuportahan din ng mga third-party na tagapamahala ng password tulad ng 1Password ang pag-imbak ng mga 2FA code sa loob ng mahabang panahon, na may parehong mga feature ng autofill, kaya kung hindi ito pinuputol ng iCloud Keychain para sa iyo, maaari kang palaging pumunta sa isa sa mga.
Gayunpaman, mayroong isang wastong argumento na ang pag-iimbak ng iyong mga password at 2FA code sa parehong app ay nagpapanatili sa lahat ng iyong mga itlog sa isang basket. Ang isang paglabag sa seguridad ng app na iyon ay magbibigay sa mga hacker ng lahat ng mga piraso na kailangan nila upang ikompromiso ang iyong mga account. Kung nag-aalala iyon sa iyo, mayroong iba’t ibang standalone na 2FA app tulad ng Authy, OTP Auth, at TOTP na tapos na ang trabaho. Nag-aalok pa nga ang ilan ng mga Apple Watch app para mabilis na makuha ang iyong mga 2FA code mula sa iyong pulso. Iyan ay isang bagay na hindi gagawin ng Google Authenticator para sa iyo.
Tandaan lang na hindi mo talaga pinapahusay ang seguridad sa pamamagitan ng paggamit ng hiwalay na 2FA app kung naka-install ito sa parehong iPhone bilang iyong password manager maliban kung pinoprotektahan mo ito gamit ang ibang password at sinusuportahan nito ang lokal na pag-encrypt ng iyong OTP data. Kung hindi man, kahit sinong kumuha ng kanilang mga kamay sa iyong iPhone at makakapag-unlock nito ay mas madaling makuha ang iyong mga 2FA code mula sa isang hiwalay na app kaysa sa makapasok sila sa isang mas secure na tagapamahala ng password tulad ng 1Password.