Notizia La funzione di sincronizzazione di Google Authenticator è veramente sicura?
@andrew_andrew__
8 maggio 2023, 13:22 EST | 1 minuto di lettura
Andrew Heinzman / Recensione Geek Aggiunge l’ultimo aggiornamento di Google Authenticator sincronizzazione dell’account—In sostanza, ora puoi salvare le password monouso sul tuo account Google, che potrebbero tornare utili in caso di smarrimento o aggiornamento del telefono. Ma, stranamente, i ricercatori di sicurezza non sono contenti di questa funzionalità molto richiesta.
In un recente tweet, lo sviluppatore e ricercatore di sicurezza Mysk ha scoperto che la funzione di sincronizzazione di Google Authenticator non utilizza la crittografia end-to-end. Quindi, se qualcuno intercetta i tuoi dati di sincronizzazione (attraverso una violazione dei dati o hackerando il tuo account Google), può trovare il seme che il tuo Authenticator utilizza per generare password monouso. Da lì, l’hacker può generare password monouso per qualsiasi sito Web associato al tuo account Authenticator.
Inoltre, Mysk osserva che i codici QR 2FA di Google Authenticator contengono nomi di siti Web e account. Google può accedere a questi dati personali quando utilizzi la funzione di sincronizzazione di Authenticator, poiché la funzione non utilizza la crittografia end-to-end. (Personalmente, lo considero un punto controverso. Google sa già quali siti web utilizzi. Non imparerà nulla di rivoluzionario guardando i tuoi dati di Authenticator.)
(1/4) Siamo sempre concentrati sulla sicurezza e la protezione di @Google utenti e gli ultimi aggiornamenti di Google Authenticator non hanno fatto eccezione. Il nostro obiettivo è offrire funzionalità che proteggano gli utenti, MA siano utili e convenienti.
— Christiaan Brand (@christiaanbrand) 26 aprile 2023
Da parte sua, Google ha una risposta piuttosto misurata a queste preoccupazioni. Marchio Cristiano, il Product Manager di Google Identity and Security, spiega che l’intero punto nella funzione di sincronizzazione di Authenticator è impedire alle persone di essere bloccate dagli account associati a 2FA. Quindi, questi backup devono essere relativamente facili da accedere.
Christiaan Brand afferma che la crittografia end-to-end completa arriverà “da qualche parte lungo la linea”, presumibilmente come impostazione opzionale per gli utenti che sincronizzano i dati di Authenticator con il proprio account Google.
Ma, in ogni caso, sembra che la funzione di sincronizzazione di Authenticator debba trovare un equilibrio tra sicurezza e praticità, una realtà che potrebbe rendere 2FA molto meno utile di quanto sperassero i ricercatori di sicurezza. Ciò è particolarmente vero nello spazio aziendale, poiché gli hacker che vogliono attaccare un’azienda di solito lo fanno prendendo di mira i suoi dipendenti.
La buona notizia è che la funzione di sincronizzazione di Authenticator è facoltativa. E, se ti ritrovi bloccato fuori dagli account protetti da 2FA, di solito c’è un modo per recuperare l’accesso all’account (è solo un dolore al collo ed è un po ‘imbarazzante in un ambiente di lavoro).
Fonte: Mysk, Google
Andrea Heinzmann
Andrew è il redattore di notizie per Review Geek, dove copre le ultime notizie e gestisce il team di notizie. È entrato a far parte di Life Savvy Media come scrittore freelance nel 2018 e ha esperienza in una serie di argomenti, tra cui hardware mobile, audio e IoT. Leggi la biografia completa »