Google Authenticator kamakailang ipinakilala a update pag-synchronize ng mga single-use na code sa kanilang mga Google account, upang maiwasan ang mga user na ma-block sa kanilang mga account kung sakaling magpalit ng smartphone.
Gayunpaman, binabalaan ng kumpanya ng software na Mysk ang mga user na huwag nang umasa sa app para pamahalaan ang mga secure na passcode. Pero bakit? Tingnan natin ito sa mga susunod na linya.
Wala nang encryption ang Google Authenticator
Natuklasan ni Mysk na ang trapiko sa network ay nabuo ng Authenticator app hindi ito end-to-end na naka-encrypt, pinapataas ang panganib na ang mga single-use na code ay maaaring makompromiso ng isang umaatake. Bagama't ang pag-update ay lumilitaw na tumugon sa isang praktikal na pangangailangan, ang mga panganib na nauugnay sa paggamit ng Authenticator ay maaaring mas malaki kaysa sa mga benepisyo.
Itinampok ng kumpanya na i 2FA QR code maaaring maglaman ng personal na impormasyon tulad ng account at pangalan ng serbisyo. Bagama't walang ebidensya na ginagamit ng Google ang impormasyong ito upang pagyamanin ang mga personalized na ad, i mga panganib sa privacy ng mga gumagamit ay magiging mataas. Sa kaganapan ng isang paglabag sa data, ang iyong personal na impormasyon ay maaaring malantad sa mga ikatlong partido.
Tumugon ang Google sa mga alalahanin ng mga user nito sa pamamagitan ng tweet mula sa product manager na si Christiaan Brand. Ipinaliwanag ng Brand na sa kabila ng kakulangan ng pag-encrypt ng code sa Authenticator, may mga planong mag-alok ng proteksyon sa seguridad sa hinaharap.
Narito ang kanyang mga salita: "Sa oras na ito, naniniwala kami na ang aming kasalukuyang produkto ay nakakakuha ng tamang balanse para sa karamihan ng mga user at nag-aalok ng mga makabuluhang benepisyo sa offline na paggamit. Bilang karagdagan, ang pagsasama ng mas malakas na pag-encrypt tulad ng E2E ay maaaring muling lumitaw ang posibilidad ng mga user na ma-lock out sa kanilang mga account".
Itinuro din ng Brand na ang pag-sync ng iyong Google Authenticator account ay ganap na opsyonal. Ang mga user ay magkakaroon ng kumpletong kontrol sa kung paano i-back up ang kanilang impormasyon at mapipili nilang gamitin ang app sa offline mode kung mas kumpiyansa sila.
