Google Authenticator nylig introdusert en Oppdater synkronisering av engangskoder på deres Google-kontoer, for å hindre at brukere blir blokkert fra kontoene sine ved bytte av smarttelefon.
Programvareselskapet Mysk advarer imidlertid brukere om ikke lenger å stole på appen for å administrere sikre passord. Men hvorfor? La oss se det i de neste linjene.
Google Authenticator har ikke lenger kryptering
Mysk oppdaget at nettverkstrafikk generert av Authenticator-appen den er ikke ende-til-ende-kryptert, øker risikoen for at engangskoder kan bli kompromittert av en angriper. Selv om oppdateringen ser ut til å møte et praktisk behov, kan risikoen forbundet med bruk av Authenticator oppveie fordelene.
Selskapet fremhevet at jeg 2FA QR-koder kan inneholde personlig informasjon som konto og tjenestenavn. Selv om det ikke er bevis for at Google bruker denne informasjonen til å berike personlig tilpassede annonser, dvs personvernrisiko av brukere ville være høy. Ved et databrudd kan personopplysningene dine bli eksponert for tredjeparter.
Google svarte på brukernes bekymringer via en tweet fra produktsjef Christiaan Brand. Brand forklarte at til tross for mangelen på kodekryptering i Authenticator, er det planer om å tilby sikkerhetsbeskyttelse i fremtiden.
Her er ordene hans: "På dette tidspunktet tror vi at vårt nåværende produkt har den rette balansen for de fleste brukere og gir betydelige fordeler fremfor offline bruk. I tillegg kan inkludering av sterkere kryptering som E2E gjenoppstå muligheten for at brukere blir utestengt fra kontoene sine".
Brand påpekte også at synkronisering av Google Authenticator-kontoen din er helt valgfritt. Brukere har da full kontroll over hvordan de skal sikkerhetskopiere informasjonen sin og kan velge å bruke appen i frakoblet modus hvis de føler seg tryggere.
