Google знадобилося 13 років, щоб додати нову функцію в Google Authenticator. Завдяки функції синхронізації 2FA користувачі тепер можуть створювати резервні копії своїх кодових послідовностей 2FA у хмарі та відновлювати їх на новому пристрої. Ми припускаємо, що ніхто не буде заперечувати зручність цієї нової функції, але є деякі проблеми з безпекою.
Синхронізація 2FA від Google ставить під загрозу вашу конфіденційність?
Не так давно, деякі вчені у Sophos Naked Security та розробники iOS у Mysk поділилися своїми думками з цього приводу. Вони сказали, що інформація користувача 2FA була «незашифрована в мережевих пакетах Google HTTPS». Навіть якщо ваша інформація 2FA зберігається в таємниці, коли ви її надсилаєте, виникає проблема, коли вона доставляється без шифрування до місця призначення. Це надає Google та іншим доступ до вашої інформації. Це стосується будь-кого з ордером на обшук, який може скомпрометувати дані користувача.
Крім того, користувачі не можуть зашифрувати свої завантаження за допомогою пароля, перш ніж вони покинуть їхній пристрій. Тож зловмисники можуть без зусиль перехоплювати та отримувати доступ до даних. Враховуючи ці проблеми з безпекою, Mysk рекомендує поки що використовувати програму без нової функції синхронізації.
Ми впевнені, що Google вирішить цю проблему в майбутньому. Але зараз відсутність шифрування завантаження є серйозним недоліком безпеки, і Google має над цим попрацювати зараз. Тому ми рекомендуємо нашим читачам використовувати нову функцію синхронізації з обережністю та досліджувати альтернативні методи 2FA, доки проблема безпеки не буде вирішена.
Зрештою, нова функція Google Authenticator є кроком до того, щоб зробити 2FA зручнішим для користувачів. Але не слід ігнорувати питання безпеки, пов’язані з цією функцією. Як користувачі, ми повинні бути пильними щодо безпеки наших даних і вживати необхідних заходів для їх захисту.
Загалом конфіденційність користувачів є однією з найбільших проблем сьогодення. Не назвеш жодної компанії, яка б не стикалася з цим. Тож Google не остання й не єдина компанія, яка стикається з цими проблемами.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023