Оно што треба да знате
- Истраживачи из Миск-а су открили да Гоогле Аутхентицатор не шифрује 2ФА кодове корисника са краја на крај.
- Гугл може да види „тајне“ потребне за 2ФА кодове, што кориснике чини рањивим на кршење података.
- Кристијан Бренд из Гоогле-а је одговорио наводећи да се планира да се Е2ЕЕ уведе у Гоогле Аутхентицатор у будућности.
Након дуго очекиваног ажурирања Гоогле Аутхентицатор-а, софтверска компанија Миск издао упозорење да корисници не омогуће ову функцију због забринутости да функција није безбедна.
Ажурирање у питању недавно уведен опција синхронизације за једнократне кодове, што би омогућило корисницима да их чувају на својим Гоогле налозима. Идеја је била да се спречи ситуација у којој корисник буде закључан са свих својих налога јер су ти једнократни кодови претходно били ускладиштени на уређају на којем је апликација инсталирана.
Миск је пронашао доказ да ће корисници заинтересовани за коришћење ове функције можда морати да узму у обзир да мрежни саобраћај који генерише апликација Аутхентицатор није шифрован од краја до краја. Особа са злонамерном намером би могла да украде „тајну“ или „семе“ које се користи за генерисање вашег 2ФА КР кода. Уз то, ваши напори у стварању јаче безбедносне баријере били би спорни.
Гоогле је управо ажурирао своју 2ФА Аутхентицатор апликацију и додао преко потребну функцију: могућност синхронизације тајни на свим уређајима. ТЛ; ДР: Не пали га. Ново ажурирање омогућава корисницима да се пријаве са својим Гоогле налогом и синхронизују 2ФА тајне на својим иОС и Андроид уређајима.… пиц.твиттер.цом/а8ххелупЗР26. априла 2023. године
Види више
Поред тога, Миск помиње 2ФА КР кодови имају могућност да садрже друге информације о вама, као што су име вашег налога и назив услуге за коју је код намењен. Шпекулације сугеришу да би Гоогле могао да користи ове информације да вас бомбардује персонализованим огласима у свим својим услугама, али то би могло представљати опасност за кориснике. Миск наводи да ако би Гоогле икада претрпео повреду података, ваше информације би летеле право ка њима.
Као одговор, Цхристиаан Бранд, менаџер производа у Гоогле-у, објаснио је недостатак Е2ЕЕ код Аутхентицатор-а у Твеет у четвртак. Иако апликација не нуди безбедносну заштиту коју би корисници поздравили, постоје планови да се касније понуди шифровање. Он наводи да Гоогле шифрује ваше податке из свих својих апликација, укључујући Аутхентицатор, када су „у транзиту и мировању“.
„Тренутно верујемо да наш тренутни производ постиже праву равнотежу за већину корисника и пружа значајне предности у односу на коришћење ван мреже“, наставља Бранд. Штавише, укључивање јаче енкрипције као што је Е2Е могло би поново да изазове могућност да корисници остану без налога.
Међутим, како претходно напоменуто и што је Бранд поновио, синхронизација налога Гоогле Аутхентицатор-а је потпуно опциона. Ако се корисници осећају сигурније користећи апликацију у офлајн стању, уз контролу над начином на који праве резервне копије својих информација, то им је и даље доступно.