Ang Google Authenticator ngayon ay pinapayagan kang mag-sync ang iyong 2FA (two-factor authentication) gamit ang iyong Google Account. Sa ganitong paraan, makakapag-log in ka sa mga app gamit ang iyong Google Account kapag hindi available ang telepono. Gayunpaman, ang mga mananaliksik sa seguridad sabihin ay maaaring magdulot ng panganib sa kaligtasan ng mga user ang feature na ito.
Ang Google Authenticator ay isa sa mga pinakasikat na app para sa pagtatakda ng two-factor na pagpapatotoo at pagtanggap ng mga code. Ang app ay libre, maaasahan, at sinusuportahan ng Google. Sa isang kamakailang pag-update, tinugunan ng Google ang isa sa pinakamalalaking alalahanin ng user sa pamamagitan ng pagpayag sa kanila na i-sync ang Authenticator app sa kanilang Google Account.
Sabi ng kumpanya, gagawin ng feature na ito ang”isang beses na mga code na mas matibay sa pamamagitan ng pag-iimbak sila nang ligtas sa mga Google Account ng mga user.” Ligtas na iba-back up ang mga 2FA code sa Google Account. Madaling ma-access ang mga ito kapag nawala mo ang iyong telepono o gusto mong mag-set up ng bagong device.
Siyempre, pinapayagan ka pa rin ng Google na gamitin ang Authenticator app nang hindi ito sini-sync sa iyong Google Account. Bukod pa rito, ang app ay may bagong icon at mga pag-aayos ng disenyo para sa mas magandang karanasan ng user.
Nagbabala ang mga mananaliksik sa seguridad tungkol sa pag-sync ng Google Authenticator app sa Google Account
Habang ang feature ay maaaring magdala ng kaginhawahan sa ang mga gumagamit, ang mga mananaliksik ng seguridad sa kumpanya ng software na Mysk ay nagsasabi na ang trapiko sa Authenticator app ay hindi end-to-end na naka-encrypt. Nangangahulugan ito na makikita ng isang third party, tulad ng isang empleyado ng Google, ang mga 2FA code na ginagamit mo upang mag-log in sa mga account. Maaaring lumala ang mga bagay kung maa-access ng isang cybercriminal ang iyong Google Account.
Idinagdag pa ng mga mananaliksik ng Mysk na naglalaman ang mga 2FA code ng iba pang impormasyon tulad ng mga pangalan ng account at serbisyo. Maaaring gamitin ng Google ang data na ito para i-personalize ang mga ad. Siyempre, sinasabi ng mga mananaliksik,”Ang mga pag-export ng data ng Google ay hindi kasama ang mga lihim ng 2FA na naka-imbak sa Google Account ng user. Na-download namin ang lahat ng data na nauugnay sa Google account na ginamit namin, at wala kaming nakitang bakas ng mga lihim ng 2FA.”
Bilang tugon sa mga mananaliksik ng Mysk, ang Product Manager ng Google para sa Pagkakakilanlan at Seguridad Christiaan Brand, nabanggit na nag-e-encrypt sila ng data sa lahat ng produkto, kabilang ang Authenticator app. Gayunpaman, sinabi niya na ang E2EE [end-to-end encryption] ay maaaring makapagpa-lock ng mga user sa kanilang sariling data nang walang pagbawi. Iyon ang dahilan kung bakit nagsimula ang Google na ilunsad ang opsyonal na E2EE para sa ilan sa mga produkto nito. Malapit na ring makuha ng Authenticator ang feature.
“Sa ngayon, naniniwala kami na ang aming kasalukuyang produkto ay nakakakuha ng tamang balanse para sa karamihan ng mga user at nagbibigay ng makabuluhang benepisyo sa offline na paggamit.” Idinagdag ang tatak. “Gayunpaman, ang opsyong gamitin ang app offline ay mananatiling alternatibo para sa mga mas gustong pamahalaan ang kanilang backup na diskarte sa kanilang sarili.”