Ứng dụng Authenticator miễn phí của Google từ lâu đã là một trong những cách tốt nhất để lưu trữ mã hẹn giờ cần thiết cho hệ thống xác thực hai yếu tố (2FA) được nhiều dịch vụ trực tuyến sử dụng. Tuy nhiên, nó luôn gặp phải một hạn chế khó chịu: các mã này chỉ được lưu trữ trên bất kỳ thiết bị nào bạn sử dụng.
Mặc dù khó có thể phản đối tính bảo mật của cách tiếp cận như vậy, nhưng nó gây rắc rối cho những người muốn truy cập mã hai yếu tố của họ từ nhiều thiết bị, chẳng hạn như iPhone và iPad. Nó cũng gây phiền toái khi nâng cấp lên iPhone mới hơn vì các mã thường sẽ không được khôi phục từ bản sao lưu sang điện thoại mới do cách chúng được lưu trữ trong ứng dụng.
Không cần phải nói, thật là một luồng gió mới khi giám đốc sản phẩm của Google Christiaan Brand đã chia sẻ tin tức trong tuần này rằng Google Authenticator có thể sao lưu và đồng bộ hóa mã một lần bằng Tài khoản Google của bạn. Điều đó nhận được một “cuối cùng” rất xứng đáng khi bạn coi ứng dụng này được phát hành vào năm 2010 với tư cách là một trong những ứng dụng 2FA đầu tiên trên thị trường.
Tuy nhiên, sự phấn khích đó chỉ tồn tại trong thời gian ngắn sau khi các nhà nghiên cứu bảo mật xem xét kỹ hơn những gì Google đang làm và phát hiện ra rằng Google thiếu các biện pháp bảo vệ quan trọng để lưu trữ dữ liệu nhạy cảm như mã 2FA của mọi người.
Trong một tweet dài (vâng, Twitter hiện cho phép các thành viên trả phí viết bài luận), các nhà phát triển và nhà phân tích bảo mật tại Mysk chỉ ra việc thiếu mã hóa đầu cuối (E2E) trong hệ thống mới và khuyên người dùng Google Authenticator không nên bật mã hóa này.
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ hóa các bí mật giữa các thiết bị.
TL;DR: Đừng biến nó bật.
Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) Ngày 26 tháng 4 năm 2023
Chúng tôi đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và hóa ra lưu lượng không được mã hóa nối đầu. Như được hiển thị trong ảnh chụp màn hình, điều này có nghĩa là Google có thể nhìn thấy các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn để thêm cụm mật khẩu để bảo vệ các bí mật, để chỉ người dùng mới có thể truy cập chúng.Mysk
Mặc dù bạn có thể nghĩ rằng không có hại gì khi để lộ mã 2FA thay đổi cứ sau 30 giây , thông tin Google Authenticator được lưu trữ không được mã hóa trong Tài khoản Google của bạn cũng chứa các khóa bí mật hoặc”hạt giống”được sử dụng để tạo các mã này. Điều này có nghĩa là bất kỳ ai có quyền truy cập vào thông tin này đều có thể tạo cùng mã 2FA trên một thiết bị khác, do đó dẫn đến khả năng bảo mật của bạn bị xâm phạm.
Tất nhiên, họ vẫn phải biết mật khẩu của bạn, nhưng mục đích chính của 2FA là để bảo mật tài khoản của bạn trong trường hợp mật khẩu của bạn bị chặn hoặc rò rỉ do vi phạm dữ liệu.
Mặt khác, các bí mật 2FA không được bao gồm trong dữ liệu được xuất từ Tài khoản Google của bạn, vì vậy chúng an toàn về mặt đó, nhưng vẫn có rủi ro là chúng có thể bị lộ theo một số cách khác nếu một tin tặc đã giành được quyền truy cập vào Tài khoản Google của bạn.
Hơn nữa, như nhóm tại Mysk lưu ý, còn có khía cạnh quyền riêng tư trong vấn đề này: “Vì Google có thể xem tất cả dữ liệu này nên Google biết bạn sử dụng dịch vụ trực tuyến nào và có khả năng sử dụng thông tin này cho các quảng cáo được cá nhân hóa.” Các phương pháp khai thác dữ liệu của Google đã được nhiều người biết đến, vì vậy người ta không thể cho rằng Google sẽ không sử dụng dữ liệu này để lập hồ sơ người dùng.
May mắn thay, tính năng đồng bộ hóa mới hoàn toàn được chọn tham gia; bạn vẫn có thể sử dụng ứng dụng như mọi khi, chỉ lưu trữ bí mật trên thiết bị của bạn. Sau báo cáo về những lo ngại về bảo mật, Thương hiệu Christiaan của Google đã giải thích lý do tại sao công ty chọn bỏ mã hóa hai đầu, lưu ý rằng nó”phải trả giá bằng việc cho phép người dùng bị khóa khỏi dữ liệu của chính họ mà không cần khôi phục.”Anh ấy nói thêm rằng E2E sắp ra mắt cho Google Authenticator “xuống dòng”, tại thời điểm đó, có lẽ bạn sẽ có thể sử dụng nó một cách an toàn. Tốt nhất là tránh nó cho đến khi điều đó xảy ra hoặc xem xét một ứng dụng thay thế để xử lý mã 2FA của bạn.
Bỏ qua Google Authenticator và sử dụng Chuỗi khóa iCloud
Vì Google tự nhiên đẩy ứng dụng Google Authenticator của riêng mình nên nhiều người dùng Gmail đã tin rằng đây là ứng dụng mà họ bắt buộc phải sử dụng để truy cập Tài khoản Google của họ và các dịch vụ khác sử dụng 2FA.
Tuy nhiên, không có gì có thể xa hơn sự thật. Chắc chắn rồi, Google Authenticator xử lý tốt việc đó và nó đã tồn tại từ rất lâu và nó đã trở thành một tiêu chuẩn thực tế cho thông tin xác thực 2FA. Tuy nhiên, đây không phải là trò chơi duy nhất trong thị trấn bằng một cú sút xa.
Trên thực tế, nếu đang sử dụng iOS 15 và/hoặc macOS Monterey trở lên, thì bạn có thể bỏ hoàn toàn Google Authenticator và chuyển sang iCloud Keychain. Chuỗi khóa này đã bao gồm tính năng mã hóa hai đầu mạnh mẽ kể từ khi ra đời trong iOS 7 và OS X Mavericks vào năm 2013.
Mặc dù iCloud Keychain đã có thể lưu trữ mật khẩu một cách an toàn trong nhiều năm, nhưng khả năng xử lý mã xác thực hai yếu tố chỉ xuất hiện trong iOS 15 và iPadOS đi kèm khác và bản phát hành macOS. Tuy nhiên, điều đó hiện làm cho nó trở thành một sự thay thế hoàn toàn cho Google Authenticator, đặc biệt là vì nó đã đồng bộ hóa tất cả thông tin này trên mọi iPhone, iPad và Mac đã đăng nhập vào tài khoản iCloud của bạn và có thể tự động điền các mã này cho bạn trong Safari. Apple cũng cung cấp một ứng dụng Windows cho nó.
Các trình quản lý mật khẩu của bên thứ ba như 1Password cũng đã hỗ trợ lưu trữ mã 2FA từ lâu, với các tính năng tự động điền tương tự, vì vậy nếu Chuỗi khóa iCloud không hỗ trợ bạn, bạn luôn có thể chuyển sang một trong các những thứ kia.
Tuy nhiên, có một lập luận hợp lệ rằng việc lưu trữ mật khẩu và mã 2FA của bạn trong cùng một ứng dụng sẽ giữ tất cả trứng của bạn trong một giỏ. Vi phạm bảo mật của ứng dụng đó sẽ cung cấp cho tin tặc tất cả các phần chúng cần để xâm phạm tài khoản của bạn. Nếu điều đó làm bạn lo lắng, thì có rất nhiều ứng dụng 2FA độc lập như Authy, Xác thực OTP và TOTP để hoàn thành công việc. Một số thậm chí còn cung cấp ứng dụng Apple Watch để nhanh chóng lấy mã 2FA từ cổ tay của bạn. Đó là điều mà Google Authenticator sẽ không làm cho bạn.
Xin lưu ý rằng bạn không thực sự cải thiện tính bảo mật bằng cách sử dụng ứng dụng 2FA riêng biệt nếu ứng dụng này được cài đặt trên cùng iPhone với trình quản lý mật khẩu của bạn trừ khi bạn bảo vệ ứng dụng đó bằng một mật khẩu khác và ứng dụng này hỗ trợ mã hóa cục bộ của dữ liệu OTP của bạn. Mặt khác, bất kỳ ai chạm tay vào iPhone của bạn và có thể mở khóa nó đều có thể lấy mã 2FA của bạn từ một ứng dụng riêng biệt thậm chí còn dễ dàng hơn so với việc họ có thể truy cập vào trình quản lý mật khẩu an toàn hơn như 1Password.