Новая функция бэкапа данных в облачном хранилище Google Authenticator, которая была представлена 24 апреля, вызвала озабоченность среди экспертов по кибербезопасности.
Google Authenticator — это приложение, широко используемое для генерации одноразовых кодов аутентификации, обеспечивая дополнительный уровень безопасности для аккаунтов пользователей.
Недостачное Шифрование трафика
И многие эксперты исследуя новый функционал обнаружили, что процесс синхронизации данных с облачным сервисом не обеспечивает должного уровня шифрования трафика. Да, это означает, что seed-информация, необходимая для генерации одноразовых кодов аутентификации, может быть украдена злоумышленниками. И эта уязвимость может позволить злоумышленникам перехватывать seed-информацию, которая является основой для генерации одноразовых кодов аутентификации.
Кроме того, QR-коды для настройки двухэтапной аутентификации содержат название аккаунта, что позволяет идентифицировать пользователей. Если серверы Google, на которых хранятся одноразовые пароли двухфакторной аутентификации, будут скомпрометированы, это может привести к масштабной утечке данных. Хотя такой сценарий кажется маловероятным, утечки у крупных корпораций происходят периодически и могут причинить большой ущерб пользователям. Поэтому важно принимать дополнительные меры безопасности для защиты своих данных, если вы используете Google Authenticator.
Риски
Если злоумышленники получат эту информацию, они смогут генерировать свои собственные одноразовые коды и получить доступ к аккаунтам пользователей. Получив доступ к этим данным, злоумышленники могут проникнуть в аккаунты пользователей и потенциально нанести ущерб.
Например, злоумышленники могут получить доступ к их личной информации и использовать ее в мошеннических целях, таких как кража личных данных, финансовых средств и т.д. Кроме того, в случае компрометации учетных данных, злоумышленники могут получить доступ к конфиденциальной информации, хранимой в различных онлайн-сервисах, связанных с аккаунтом пользователя.
Две стороны одной медали
По мнению экспертов, новая функция приложения Google Authenticator, которая позволяет бэкапить данные, пока не является безопасной.
С одной стороны, использование облачной синхронизации позволяет пользователям сохранять свои одноразовые коды аутентификации в случае потери устройства, на котором они были сгенерированы.
С другой стороны, недостаточная шифровка трафика при синхронизации может привести к утечкам информации и к возможности злоумышленников получить доступ к аккаунтам пользователей.
Рекомендации эксертов
В свете этих обстоятельств эксперты по кибербезопасности рекомендуют пользователям воздержаться от использования новой функции бэкапа данных в Google Authenticator до тех пор, пока компания не устранит эту уязвимость. Вместо этого, пользователи могут продолжать использовать Google Authenticator для генерации одноразовых кодов аутентификации без синхронизации данных в облаке, чтобы обеспечить более высокий уровень безопасности своих аккаунтов.
Так что, если вы хотите использовать Google Authenticator, вам следует рассмотреть оба варианта и выбрать тот, который наиболее удобен для вас и обеспечивает максимальную безопасность. Если вы решили использовать функцию бэкапа данных, то рекомендуется принять дополнительные меры безопасности, например, использовать пароль для защиты доступа к бэкапам.
Личное мнение
Смею заметить, что на данный момент, использование старого алгоритма для генерации одноразовых кодов аутентификации в Google Authenticator может считаться более безопасным, чем облачная синхронизация с недостаточной шифровкой трафика.
Поэтому я предпочту пока воздержаться от нового функционала в пользу защиты своих данных. А что вы скажете по этому поводу?