Google Authenticator har nyligen infört en uppdatering synkronisering av engångskoder på sina Google-konton, för att förhindra att användare blockeras från sina konton vid byte av smartphone.
Mjukvaruföretaget Mysk varnar dock användare att inte längre förlita sig på appen för att hantera säkra lösenord. Men varför? Låt oss se det på nästa rader.
Google Authenticator har inte längre kryptering
Mysk har upptäckt att nätverkstrafiken som genereras av Authenticator-appen den är inte krypterad från ände till ände, vilket ökar risken för att engångskoder kan äventyras av en angripare. Även om uppdateringen tycks möta ett praktiskt behov, kan riskerna med att använda Authenticator uppväga fördelarna.
Bolaget påpekade att jag 2FA QR-koder kan innehålla personlig information som ditt konto och tjänstens namn. Även om det inte finns några bevis för att Google använder denna information för att berika personliga annonser, dvs integritetsrisker antalet användare skulle vara högt. I händelse av ett dataintrång kan din personliga information exponeras för tredje part.
Google svarade på sina användares oro via en tweet från produktchefen Christiaan Brand. Brand förklarade att trots bristen på kryptering av koderna i Authenticator finns det planer på att erbjuda säkerhetsskyddet i framtiden.
Här är hans ord: "Just nu tror vi att vår nuvarande produkt har rätt balans för de flesta användare och erbjuder betydande fördelar jämfört med offlineanvändning. Dessutom kan införandet av starkare kryptering som E2E återuppstå möjligheten att användare låses ute från sina konton".
Brand påpekade också att det är helt valfritt att synkronisera ditt Google Authenticator-konto. Användare har då fullständig kontroll över hur deras information säkerhetskopieras och kan välja att använda appen i offlineläge om de känner sig säkrare.
