Mida peate teadma
- Myski teadlased leidsid, et Google Authenticator ei krüpteeri täielikult kasutajate 2FA-koode.
- Google näeb 2FA-koodide jaoks vajalikke "saladusi", muutes kasutajad kaitsetuks andmetega seotud rikkumiste suhtes.
- Google'i Christiaan Brand vastas, et tulevikus on kavas tuua E2EE Google Authenticatorisse.
Pärast Google Authenticatori kauaoodatud värskendust tarkvarafirma Mysk andis hoiatuse et kasutajad ei lubaks seda funktsiooni, kuna nad on mures, et funktsioon pole turvaline.
Kõnealune värskendus hiljuti tutvustatud ühekordsete koodide sünkroonimisvalik, mis võimaldab kasutajatel salvestada need oma Google'i kontodele. Idee oli aidata vältida olukorda, kus kasutaja on lukustatud kõigist oma kontodest, kuna need ühekordsed koodid olid varem salvestatud seadmesse, kuhu rakendus installiti.
Mysk leidis tõendeid selle kohta, et selle funktsiooni kasutamisest huvitatud kasutajad peavad võib-olla arvestama, et rakenduse Authenticator genereeritud võrguliiklus ei ole täielikult krüptitud. Pahatahtlik isik võib varastada "saladuse" või "seemne", mida kasutatakse teie 2FA QR-koodi genereerimiseks. Sellega oleksid teie jõupingutused tugevama turvabarjääri loomisel vaieldavad.
Google on just värskendanud oma rakendust 2FA Authenticator ja lisanud väga vajaliku funktsiooni: võimaluse seadmete vahel saladusi sünkroonida. TL; DR: Ärge lülitage seda sisse. Uus värskendus võimaldab kasutajatel oma Google'i kontoga sisse logida ja sünkroonida 2FA saladusi oma iOS- ja Android-seadmetes.… pic.twitter.com/a8hhelupZR26. aprill 2023
Näe rohkem
Lisaks mainib Mysk, et 2FA QR-koodid võivad sisaldada teie kohta muud teavet, näiteks teie konto nime ja teenuse nime, mille jaoks kood on mõeldud. Spekulatsioonid näitavad, et Google võib seda teavet kasutada, et pommitada teid isikupärastatud reklaamidega kõigis oma teenustes, kuid see võib kasutajaid ohustada. Mysk väidab, et kui Google peaks kunagi kannatama andmetega seotud rikkumiste all, lendaks teie teave otse nende poole.
Google'i tootejuht Christiaan Brand selgitas vastuseks Authenticatori E2EE puudumist Säuts neljapäeval. Kuigi rakendus ei paku turvakaitset, mida kasutajad tervitaksid, on kavas hiljem pakkuda krüptimist. Ta väidab, et Google krüpteerib teie andmed kõigist oma rakendustest, sealhulgas Authenticatorist, kui need on "transpordis ja puhkeolekus".
"Praegu usume, et meie praegune toode saavutab enamiku kasutajate jaoks õige tasakaalu ja pakub olulisi eeliseid võrreldes võrguühenduseta kasutamisega," jätkab Brand. Lisaks võib tugevama krüptimise (nt E2E) kaasamine tõsta esile võimaluse, et kasutajad kaotavad oma kontodele juurdepääsu.
Siiski, nagu varem mainitud ja Brandi kinnitusel on Google Authenticatori konto sünkroonimine täiesti valikuline. Kui kasutajad tunnevad end võrguühenduseta rakendust kasutades turvalisemalt ja kontrollivad, kuidas nad oma teavet varundavad, on see neile endiselt saadaval.