Сбер вакансии Backend
Сбер вакансии Backend
Сбер вакансии Backend
Написать пост

Google Authenticator оказался небезопасным

Новости

Угроза для аутентификатора 2FA. Рассказываем, что не так с облачной синхронизацией Google Authenticator и как отреагировали в Google.

4К открытий5К показов

Эксперты по кибербезопасности из Mysk обнаружили, что когда Google Authenticator синхронизирует коды с «облаком», трафик шифруется недостаточно хорошо.

Google Authenticator оказался небезопасным 1

24 апреля Google рассказали о новой фиче, которую многие ждали: приложение для генерации одноразовых кодов аутентификации Google Authenticator научилось бэкапить данные.

Но оказалось, что функция далеко небезопасна.

В чём проблема?

Эксперты из Mysk рассказали, что при должном желании в трафике можно увидеть seed-информацию.

С помощью неё злоумышленники запросто смогут генерировать собственные одноразовые коды. Это во-первых. Во-вторых, в QR-кодах для настройки двухэтапной аутентификации есть название аккаунта. А значит, можно идентифицировать аккаунты.

Дальше представляем, что сервера Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, «ломают» и получаем масштабную утечку.

Сценарий может показаться маловероятным, но это не так. Утечки у крупных корпораций периодически бывают, и это не такое редкое событие.

Что безопаснее: облачная синхронизация или старый алгоритм?

Если раньше одноразовые коды аутентификации генерировались на устройстве и вы бы вдруг теряли его, то вместе с ним вы бы потеряли и доступ к аккаунтам, связанным с Google Authenticator. Функция должна была бы решить эту проблему, но принесла другую.

То есть пока есть поменяли шило на мыло. Поэтому эксперты из Mysk советуют пока не включать новую функцию.

Доведут ли облачную синхронизацию до ума?

Хорошая новость в том, что Google о проблеме знает и уже работает над ней. В компании сказали, что сквозное шифрование в будущем появится:

Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем.
Будете ли пользоваться синхронизацией 2FA или подождёте исправления шифрования?
Продолжу пользоваться: вряд ли случится что-то страшное
Не буду пользоваться: безопасность дороже
Следите за новыми постами
Следите за новыми постами по любимым темам
4К открытий5К показов