Google autenticador introduït recentment a actualització sincronització de codis d'un sol ús als seus comptes de Google, per tal d'evitar que els usuaris siguin bloquejats dels seus comptes en cas de canvi de telèfon intel·ligent.
Tanmateix, l'empresa de programari Mysk adverteix als usuaris que ja no confien en l'aplicació per gestionar les contrasenyes segures. Però perquè? Vegem-ho a les següents línies.
Google Authenticator ja no té xifratge
Mysk va descobrir que el trànsit de xarxa generat per l'aplicació Authenticator no està xifrat d'extrem a extrem, augmentant el risc que els codis d'un sol ús puguin ser compromesos per un atacant. Tot i que l'actualització sembla abordar una necessitat pràctica, els riscos associats a l'ús d'Authenticator poden superar els beneficis.
L'empresa va destacar que i Codis QR 2FA pot contenir informació personal, com ara el nom del compte i del servei. Tot i que no hi ha proves que Google utilitzi aquesta informació per enriquir anuncis personalitzats, p riscos de privadesa d'usuaris seria alt. En cas d'incompliment de dades, la vostra informació personal pot estar exposada a tercers.
Google va respondre a les preocupacions dels seus usuaris mitjançant un tuit del gerent de producte Christiaan Brand. Brand va explicar que, malgrat la manca de xifratge de codi a Authenticator, hi ha plans per oferir protecció de seguretat en el futur.
Aquestes són les seves paraules: "En aquest moment, creiem que el nostre producte actual aconsegueix l'equilibri adequat per a la majoria d'usuaris i ofereix avantatges importants respecte a l'ús fora de línia. A més, la inclusió d'un xifratge més fort com E2E podria ressorgir la possibilitat que els usuaris es bloquegin als seus comptes.".
Brand també va assenyalar que sincronitzar el vostre compte de Google Authenticator és completament opcional. Aleshores, els usuaris tenen un control total sobre com fer una còpia de seguretat de la seva informació i poden optar per utilitzar l'aplicació en mode fora de línia si se senten més segurs.
