Google Authenticator پشتیبان‌گیری از کد ۲FA ابری دریافت می‌کند، هنوز رمزگذاری سرتاسر ارائه نمی‌کند

12 مهر 14027 اردیبهشت 1402 از محمد صادق مجدی

گوگل گفت که داده‌های کاربران در محصولات این شرکت، از جمله در Google Authenticator، «در حال انتقال و در حالت استراحت» رمزگذاری می‌شوند، که به نظر می‌رسد با آنچه محققان Mysk گفته‌اند در سناریوهای واقعی مشاهده کرده‌اند، در تناقض است. به هر حال، شرکت Alphabet اکنون وعده داده است که نوعی رمزگذاری E2E در نهایت به برنامه Authenticator خواهد آمد. زودتر یا دیرتر.

منبع وقتی کاربران برای دسترسی به آن‌ها در همه دستگاه‌ها «2FA Secrets» را با حساب Google خود همگام‌سازی می‌کنند، Google کدهای OTP را رمزگذاری نمی‌کند. محققان در Mysk تجزیه و تحلیل کرده اند ترافیک شبکه ناشی از عملیات همگام سازی، کشف اینکه داده های ارسال شده به سرورهای Google رمزگذاری شده نیستند. به گفته محققان، این بدان معناست که گوگل به طور بالقوه می تواند کدهای مخفی کاربران را زمانی که در سرورهای آنها ذخیره می شود، ببیند.

به‌روزرسانی جدید به کاربران امکان می‌دهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاه‌های iOS و Android خود همگام‌سازی کنند.… pic.twitter.com/a8hhelupZR

– ماسک (@mysk_co) 26 آوریل 2023

TL;DR: آن را روشن نکنید.

گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها.

رمزگذاری انتها به انتها یک حفاظت امنیتی است که از داده‌های در حال انتقال در برابر استراق سمع‌کنندگان احتمالی یا تغییرات مخرب محافظت می‌کند و اطمینان حاصل می‌کند که پیام دیجیتال (یا فایل) به‌تنهایی توسط فرستنده و گیرنده قابل دسترسی است. برنامه های احراز هویت شخص ثالث محبوب مانند Authy در حال حاضر این نوع ارتباطات رمزگذاری شده را ارائه می دهند، اما گوگل به وضوح برنامه های دیگری برای کاربران خود دارد.

بخونید: Asus Zenbook 17 Fold OLED نظرات، مزایا و معایب

Mountain View هیچ ویژگی یا عبارت عبور دیگری برای محافظت از پشتیبان‌گیری OTP ارائه نمی‌کند. به گفته محققان، اگر اطلاعاتی نقض شود یا حساب Google کاربر به خطر بیفتد، “همه اسرار 2FA شما نیز به خطر می افتد”. به این دلیل و دلایل دیگر، Mysk توصیه می‌کند فعلاً گزینه همگام‌سازی ابری را در برنامه Authenticator فعال نکنید.

این شرکت فقدان رمزگذاری E2E در ویژگی جدید Authenticator همگام سازی ابری خود را تایید کرده است، اما اکنون می گوید که این کار عمدی انجام شده است. گوگل گفت، در حالی که رمزگذاری E2E محافظت بیشتری را فراهم می کند، همچنین می تواند کاربران را در صورت گم کردن رمز عبور اصلی خود، از اطلاعات خود قفل کند. گزینه همگام سازی برای محافظت از امنیت و حریم خصوصی و همچنین مفید و راحت طراحی شده است.

در حالی که پشتیبان‌گیری ابری از کدهای OTP یکی از بازخوردهای اصلی کاربران Google Authenticator در طول سال‌ها بود، محققان امنیتی از کاربران می‌خواهند که از فعال کردن این ویژگی جدید اجتناب کنند. حداقل در حال حاضر، زیرا این گزینه هنوز فاقد لایه حفاظتی اضافی است که رمزگذاری انتها به انتها می تواند ارائه دهد.

کف دست: گوگل بالاخره یک گزینه پشتیبان ابری برای کدهای دسترسی یکباره (OTP) ذخیره شده در برنامه تلفن همراه Authenticator خود پیاده سازی کرد. این ویژگی می‌تواند راحتی و اطمینان بیشتری را برای کاربران فراهم کند، اما در حال حاضر فاقد یک حفاظت امنیتی حیاتی است زیرا آن نسخه‌های پشتیبان رمزگذاری نشده‌اند.