Menedżer produktu Google, Christiaan Brand, mówi, że firma planuje dodać kompleksowe szyfrowanie do aplikacji Authenticator „w dalszej kolejności”. End-to-end encryption (E2EE) to kolejna zmiana, jaka czegoa Google Authenticator.
Zmiana zmianę pogania? Wiele na to wskazuje. Po tym, jak na początku tygodnia Google Authenticator otrzymał nowe funkcje, okazuje się, że na tym nie koniec. Na horyzoncie są kolejne zmiany, w tym szyfrowanie end-to-end.
Kompleksowe szyfrowanie wreszcie trafi do Authenticatora
Google Authenticator otrzyma kompleksowe szyfrowanie — aż chciałoby się powiedzieć: nareszcie. Badacze bezpieczeństwa skrytykowali firmę za to, że nie uwzględniła tej zmiany w najnowszej aktualizacji synchronizacji konta Authenticator. W odpowiedzi menedżer produktu Google, Christiaan Brand, przyznał na Twitterze, że firma „planuje oferować E2EE” w przyszłości.
„Obecnie uważamy, że nasz obecny produkt zapewnia odpowiednią równowagę dla większości użytkowników i zapewnia znaczne korzyści w porównaniu z użytkowaniem offline” — pisze Brand. „Jednakże opcja korzystania z aplikacji w trybie offline pozostanie alternatywą dla tych, którzy wolą samodzielnie zarządzać swoją strategią tworzenia kopii zapasowych”.
Przeszkodzić hakerom
Na początku tego tygodnia Google Authenticator w końcu zaczął dawać użytkownikom możliwość synchronizacji kodów uwierzytelniania dwuskładnikowego z ich kontami Google. Rozwiązanie to znacznie ułatwia logowanie się na konta na nowych urządzeniach. Chociaż jest to pożądana zmiana, stwarza również pewne obawy dotyczące bezpieczeństwa. Okazuje się, że hakerzy, którzy włamują się na czyjeś konto Google, mogą potencjalnie uzyskać dostęp do wielu innych kont. Gdyby funkcja obsługiwała E2EE, hakerzy i inne strony trzecie, w tym Google, nie mogłyby zobaczyć tych informacji.
Badacze bezpieczeństwa Mysk podkreślili niektóre z tych zagrożeń w poście na Twitterze. Zauważyli, że „jeśli kiedykolwiek nastąpi naruszenie danych lub jeśli ktoś uzyska dostęp do twojego konta Google, wszystkie twoje tajemnice 2FA zostaną naruszone”. Dodali także, że Google może potencjalnie wykorzystać informacje powiązane z Twoimi kontami do wyświetlania spersonalizowanych reklam. Co więcej, doradzili użytkownikom, aby nie korzystali z funkcji synchronizacji, dopóki nie będzie obsługiwać E2EE.
Brand odpierał krytykę, stwierdzając, że podczas gdy Google szyfruje „dane podczas przesyłania i spoczynku we wszystkich produktach, w tym w Google Authenticator”. Dodawał, że zastosowanie E2EE wiąże się z „kosztem umożliwienia użytkownikom zablokowania ich własnych danych bez możliwości odzyskania.” Nadal nie ma harmonogramu, zgodnie z którym Google faktycznie wprowadziłoby E2EE do nowej funkcji synchronizacji kont Authenticator. Rozwiązanie to pozostawiałoby użytkownikom możliwość korzystania z tej funkcji bez E2EE. Opcjonalnie mogliby dalej korzystać z Google Authenticator w trybie offline.
Źródło: The Verge