आपको क्या जानने की आवश्यकता है
- Mysk के शोधकर्ताओं ने पाया कि Google प्रमाणक उपयोगकर्ताओं के 2FA कोड को एंड-टू-एंड एन्क्रिप्ट नहीं करता है।
- 2FA कोड के लिए आवश्यक "रहस्य" को Google द्वारा देखा जा सकता है, जिससे उपयोगकर्ता डेटा उल्लंघनों के प्रति संवेदनशील हो जाते हैं।
- Google के क्रिस्टियान ब्रांड ने यह कहते हुए प्रतिक्रिया दी कि भविष्य में E2EE को Google प्रमाणक में लाने की योजना है।
Google प्रमाणक के लंबे समय से प्रतीक्षित अपडेट के बाद, सॉफ़्टवेयर कंपनी Mysk चेतावनी जारी की उपयोगकर्ताओं को इस चिंता के कारण सुविधा को सक्षम नहीं करना चाहिए कि यह सुविधा सुरक्षित नहीं है।
प्रश्नगत अद्यतन हाल ही में पेश किया गया एक बार के कोड के लिए एक सिंक विकल्प, जो उपयोगकर्ताओं को उन्हें अपने Google खातों में संग्रहीत करने की अनुमति देगा। यह विचार उस स्थिति को रोकने में मदद करने के लिए था जहां एक उपयोगकर्ता अपने सभी खातों से लॉक हो जाता है क्योंकि वे एक बार के कोड पहले उस डिवाइस पर संग्रहीत होते थे जिस पर ऐप इंस्टॉल किया गया था।
Mysk को इस बात के प्रमाण मिले हैं कि सुविधा का उपयोग करने में रुचि रखने वाले उपयोगकर्ताओं को यह ध्यान में रखना होगा कि ऑथेंटिकेटर ऐप द्वारा उत्पन्न नेटवर्क ट्रैफ़िक एंड-टू-एंड एन्क्रिप्टेड नहीं है। दुर्भावनापूर्ण इरादे वाला कोई व्यक्ति "गुप्त" या "बीज" चुरा सकता है जिसका उपयोग आपके 2एफए क्यूआर कोड को उत्पन्न करने के लिए किया जाता है। इसके साथ ही, एक मजबूत सुरक्षा अवरोध पैदा करने के आपके प्रयास व्यर्थ हो जायेंगे।
Google ने हाल ही में अपने 2FA ऑथेंटिकेटर ऐप को अपडेट किया है और एक बहुत जरूरी फीचर जोड़ा है: विभिन्न डिवाइसों में रहस्यों को सिंक करने की क्षमता। टीएल; डॉ: इसे चालू मत करो। नया अपडेट उपयोगकर्ताओं को अपने Google खाते से साइन इन करने और उनके iOS और Android उपकरणों में 2FA रहस्यों को सिंक करने की अनुमति देता है।… pic.twitter.com/a8hhelupZR26 अप्रैल 2023
और देखें
इसके अतिरिक्त, Mysk ने उल्लेख किया है कि 2FA QR कोड में आपके बारे में अन्य जानकारी शामिल करने की क्षमता होती है, जैसे कि आपके खाते का नाम और उस सेवा का नाम जिसके लिए कोड है। अटकलों से पता चलता है कि Google इस जानकारी का उपयोग अपनी सेवाओं में वैयक्तिकृत विज्ञापनों के साथ आप पर बमबारी करने के लिए कर सकता है, लेकिन यह उपयोगकर्ताओं के लिए ख़तरा पैदा कर सकता है। Mysk का कहना है कि यदि Google को कभी डेटा उल्लंघन का सामना करना पड़ा, तो आपकी जानकारी सीधे उनके पास पहुंच जाएगी।
जवाब में, Google के उत्पाद प्रबंधक क्रिस्टियान ब्रांड ने प्रमाणक की E2EE की कमी के बारे में बताया करें गुरुवार को। हालाँकि ऐप वह सुरक्षा सुरक्षा प्रदान नहीं करता है जिसका उपयोगकर्ता स्वागत करेंगे, बाद में एन्क्रिप्शन की पेशकश करने की योजना है। उनका कहना है कि Google आपके डेटा को ऑथेंटिकेटर सहित अपने सभी ऐप्स से एन्क्रिप्ट करता है, जब वह "पारगमन और आराम की स्थिति में होता है।"
ब्रांड जारी रखता है, "फिलहाल, हमारा मानना है कि हमारा वर्तमान उत्पाद अधिकांश उपयोगकर्ताओं के लिए सही संतुलन बनाता है और ऑफ़लाइन उपयोग पर महत्वपूर्ण लाभ प्रदान करता है।" इसके अलावा, E2E जैसे मजबूत एन्क्रिप्शन को शामिल करने से उपयोगकर्ताओं के खाते बंद होने की संभावना फिर से सामने आ सकती है।
हालाँकि, जैसे पूर्व उल्लिखित और ब्रांड द्वारा दोहराया गया, Google प्रमाणक का खाता सिंक पूरी तरह से वैकल्पिक है। यदि उपयोगकर्ता ऑफ़लाइन स्थिति में ऐप का उपयोग करके सुरक्षित महसूस करते हैं, तो वे अपनी जानकारी का बैकअप कैसे लेते हैं, इस पर नियंत्रण के साथ, यह अभी भी उनके लिए उपलब्ध है।