Google Authenticator heeft onlangs een -update synchronisatie van codes voor eenmalig gebruik op hun Google-accounts, om te voorkomen dat gebruikers bij een verandering van smartphone de toegang tot hun accounts wordt geblokkeerd.
Softwarebedrijf Mysk waarschuwt gebruikers echter niet meer op de app te vertrouwen om veilige toegangscodes te beheren. Maar waarom? Laten we het in de volgende regels bekijken.
Google Authenticator heeft geen codering meer
Mysk heeft ontdekt dat het netwerkverkeer dat wordt gegenereerd door de Authenticator-app het is niet end-to-end versleuteld, waardoor het risico groter wordt dat codes voor eenmalig gebruik door een aanvaller worden gecompromitteerd. Hoewel de update lijkt tegemoet te komen aan een praktische behoefte, wegen de risico's van het gebruik van de Authenticator wellicht zwaarder dan de voordelen.
Het bedrijf wees erop dat i 2FA QR-codes kan persoonlijke informatie bevatten, zoals uw account en servicenaam. Hoewel er geen bewijs is dat Google deze informatie gebruikt om gepersonaliseerde advertenties te verrijken, d.w.z privacy risico's van de gebruikers zou hoog zijn. In het geval van een datalek kunnen uw persoonlijke gegevens worden blootgesteld aan derden.
Google reageerde op de zorgen van zijn gebruikers via een tweet van productmanager Christiaan Brand. Brand legde uit dat ondanks het gebrek aan codering van de codes in Authenticator, er plannen zijn om de beveiliging in de toekomst aan te bieden.
Hier zijn zijn woorden: “Op dit moment zijn we van mening dat ons huidige product voor de meeste gebruikers de juiste balans biedt en aanzienlijke voordelen biedt ten opzichte van offline gebruik. Ook kan de opname van sterkere codering, zoals E2E, de mogelijkheid opnieuw aan het licht brengen dat gebruikers geen toegang meer hebben tot hun accounts'.
Brand wees er ook op dat het synchroniseren van uw Google Authenticator-account volledig optioneel is. Gebruikers hebben dan volledige controle over hoe hun informatie wordt geback-upt en kunnen ervoor kiezen om de app offline te gebruiken als ze zich veiliger voelen.
