В понедельник Google Authenticator получил возможность синхронизировать коды двухфакторной аутентификации с вашей учетной записью Google. Позже выяснилось, что эта функция не использует сквозное шифрование (E2EE), и Google сегодня объяснила причины.
Вчера исследователи безопасности из Mysk выразили критику по поводу того, что новая функция синхронизации Google Authenticator не использует сквозное шифрование (E2EE), и, следовательно, Google теоретически может получить и воспроизвести ваши коды двухфакторной аутентификации.
Эта жалоба обоснована для тех, кто очень серьезно относится к безопасности и не доверяет Google (или злонамеренной третьей стороне) в плане доступа к пользовательским данным. Те, кто обеспокоен этим, хотят сделать так, чтобы никто, кроме них самих, не мог получить доступ к кодам двухфакторной аутентификации, используя сквозное шифрование с дополнительным ключом (или кодовой фразой), о котором знаете только вы.
Сегодня Google объяснила, что цель новой функции синхронизации Authenticator — «предлагать функции, которые защищают пользователей, НО при этом являются полезными и удобными». Признавая, что «E2EE — это мощная функция, обеспечивающая дополнительную защиту», Google отмечает, что недостатком является то, что пользователи могут «потерять доступ к своим данным без возможности восстановления», если они забудут или потеряют пароль от своей учетной записи Google (или дополнительный уровень безопасности).
Менеджер паролей Google сегодня предлагает шифрование на устройстве, которое «превращает ваше устройство в ключ, используемый для блокировки паролей перед их сохранением в Менеджере паролей Google». Однако «если вы потеряете ключ, вы можете потерять и свои пароли».
Тем не менее, Google «планирует в будущем предложить E2EE для Google Authenticator». А пока компания напомнила пользователям, что они могут продолжать использовать приложение в автономном режиме / без синхронизации с учетной записью Google.
Компания также сообщила сегодня, что шифрует данные при передаче и хранении для Authenticator и всех остальных продуктов Google.
Кстати, если у вас настроен Google Authenticator на нескольких устройствах, будьте осторожны при обновлении до новой версии и включении синхронизации. При синхронизации Google не распознает идентичные коды и не объединяет их автоматически. В результате у вас может появиться множество дубликатов.
Чтобы избежать этого, сначала настройте синхронизацию на основном устройстве, а затем удалите все остальные экземпляры приложения Google Authenticator. Таким образом, при переустановке обновленного приложения на второстепенных устройствах оно просто синхронизируется с вашего основного устройства и не покажет дубликаты.
Кайл Брэдшоу внес свой вклад в эту статью