Google Authenticator niedawno wprowadził a aktualizacja synchronizację jednorazowych kodów na swoich kontach Google, aby zapobiec zablokowaniu dostępu użytkowników do ich kont w przypadku zmiany smartfona.
Jednak firma programistyczna Mysk ostrzega użytkowników, aby nie polegali już na aplikacji do zarządzania bezpiecznymi hasłami. Ale dlaczego? Zobaczymy to w kolejnych wierszach.
Google Authenticator nie ma już szyfrowania
Mysk odkrył, że ruch sieciowy generowany przez aplikację Authenticator nie jest szyfrowany od końca do końca, zwiększając ryzyko, że kody jednorazowego użytku mogą zostać naruszone przez osobę atakującą. Chociaż wydaje się, że aktualizacja jest odpowiedzią na praktyczną potrzebę, ryzyko związane z używaniem Authenticatora może przeważać nad korzyściami.
Spółka wskazała, że I kody QR 2FA mogą zawierać dane osobowe, takie jak nazwa konta i usługi. Chociaż nie ma dowodów na to, że Google wykorzystuje te informacje do wzbogacania spersonalizowanych reklam, tj zagrożenia prywatności użytkowników byłaby wysoka. W przypadku naruszenia danych Twoje dane osobowe mogą zostać ujawnione osobom trzecim.
Google odpowiedział na obawy swoich użytkowników za pośrednictwem tweeta menedżera produktu Christiaana Branda. Brand wyjaśnił, że pomimo braku szyfrowania kodów w Authenticatorze, w przyszłości planowane jest zaoferowanie ochrony bezpieczeństwa.
Oto jego słowa: „W tej chwili uważamy, że nasz obecny produkt zapewnia odpowiednią równowagę dla większości użytkowników i oferuje znaczne korzyści w porównaniu z użytkowaniem offline. Ponadto włączenie silniejszego szyfrowania, takiego jak E2E, może ponownie ujawnić możliwość zablokowania użytkownikom dostępu do ich kont".
Brand zwrócił również uwagę, że synchronizacja konta Google Authenticator jest całkowicie opcjonalna. Użytkownicy mają wtedy pełną kontrolę nad sposobem tworzenia kopii zapasowych ich informacji i mogą zdecydować się na korzystanie z aplikacji w trybie offline, jeśli czują się bezpieczniej.
