Google'i 2FA sünkroonimisfunktsioon võib teie privaatsuse ohtu seada

Pärast 13-aastast ootamist on Google Authenticator lisanud 2FA konto sünkroonimise funktsiooni, mis võimaldab kasutajatel oma 2FA koodijadasid pilve varundada, misjärel saavad nad need uude seadmesse tagasi taastada.

Kuigi protsess, mille käigus kasutaja oma üles laadib 2FA saladused on krüpteeritud, Sophose Naked Security teadlased ja iOS-i arendajad Myskis teatasid, et kasutaja 2FA üksikasjad olid Google'i HTTPS-i võrgupakettides krüptimata. Lisaks pole ühtegi võimalust, mille puhul kasutaja saaks oma üleslaadimise enne seadmest lahkumist parooliga krüpteerida.

See on murettekitav asjaolu tõttu, et kui andmete transportimise krüpteering on pärast üleslaadimise saabumist eemaldatud, on andmed kättesaadavad Google'ile ja peaaegu kõigile teistele, kes seda teavet otsivad, sealhulgas kõigile, kellel on läbiotsimismäärus.

Kuigi on võimalik, et Google võib selle turbeprobleemiga tulevikus tegeleda, soovitavad Myski teadlased praegu rakendust ilma uue sünkroonimisfunktsioonita kasutada.

"Kuigi 2FA saladuste sünkroonimine seadmete vahel on mugav, läheb see teie privaatsuse arvelt. Õnneks pakub Google Authenticator endiselt võimalust kasutada rakendust ilma sisse logimata või saladusi sünkroonimata,” ütles Myski teadlased säutsus.