Google voegt end-to-end encryptie toe aan Google Authenticator

Google introduceert end-to-end encryptie voor Google Authenticator-cloudback-ups nadat onderzoekers gebruikers hadden gewaarschuwd om geen 2FA-codes te synchroniseren met hun Google-accounts.

Deze week kreeg Google Authenticator eindelijk de langverwachte functie om back-ups van 2FA-tokens naar de cloud te maken.

Met deze nieuwe functie kunnen gebruikers hun Google Authenticator 2FA-codes synchroniseren met hun Google-account, waardoor ze een back-up hebben voor het geval hun mobiele apparaat verloren of beschadigd raakt.

Het geeft gebruikers ook toegang tot hun 2FA-codes op meerdere apparaten, zolang ze allemaal zijn aangemeld bij hetzelfde Google-account.

Er is geen end-to-end encryptie

Kort nadat de cloudsynchronisatie van Google Authenticator was aangekondigd, ontdekten beveiligingsonderzoekers van Mysk echter dat de gegevens niet end-to-end-versleuteld waren terwijl ze werden geüpload naar de servers van Google.

We hebben het netwerkverkeer geanalyseerd wanneer de app geheimen synchroniseert, en het blijkt dat het verkeer niet end-to-end versleuteld is. Tweet van Misk.

“Zoals te zien is in de screenshots, betekent dit dat Google geheimen kan zien, waarschijnlijk zelfs terwijl ze op hun servers zijn opgeslagen. Er is geen optie om een ​​wachtwoordzin toe te voegen om geheimen te beschermen, om ze alleen beschikbaar te maken voor de gebruiker.”

Bij end-to-end-codering worden gegevens op het ene apparaat versleuteld met een wachtwoord dat alleen bekend is bij de eigenaar voordat het wordt verzonden en opgeslagen op een ander apparaat. Aangezien deze gegevens versleuteld zijn, heeft niemand anders er toegang toe, zelfs degenen die toegang hebben tot de server waarop de gegevens zijn opgeslagen.

Omdat Google Authenticator geen end-to-end encryptie biedt, worden de gegevens opgeslagen op een Google-server in een formaat waartoe onbevoegde gebruikers toegang hebben, hetzij door een Google-inbreuk of door een gewetenloze medewerker.

“Elke 2FA QR-code bevat een geheim, of seed, dat wordt gebruikt om eenmalige codes te genereren. Als iemand anders het geheim kent, kunnen ze dezelfde eenmalige codes genereren en 2FA-bescherming verslaan”, vervolgde Mysk.

“Dus als er een datalek is of als iemand toegang krijgt tot uw Google-account, worden al uw tweefactorauthenticatiegeheimen gecompromitteerd.”

Authy, een andere populaire authenticator-app, is in de loop der jaren in populariteit gegroeid omdat het cloudback-ups biedt van end-to-end gecodeerde 2FA-tokens.

Wanneer deze functie op Authy wordt gebruikt, moeten gebruikers een wachtwoord invoeren dat alleen de gebruiker kent, waarmee alle geüploade gegevens worden versleuteld voordat deze hun mobiele apparaat verlaten.

Bovendien staat Authy geen gegevensback-up toe tenzij een end-to-end-coderingswachtwoord is ingesteld, wat een betere beveiliging biedt.

Deze functie vormt echter een risico, omdat gebruikers mogelijk geen toegang kunnen krijgen tot hun gegevens en deze niet op een ander apparaat kunnen herstellen als ze het wachtwoord verliezen.

E2EE komt naar Google Authenticator

Google heeft de zorgen van gebruikers gehoord over het ontbreken van end-to-end encryptie en zei dat het deze zal toevoegen aan een toekomstige versie van Google Authenticator.

Christian Brand, Google Group Product Manager, vertelde BleepingComputer dat vanwege het potentieel voor end-to-end encryptie waardoor gebruikers hun privégegevens kunnen buitensluiten, ze deze functie zorgvuldig in hun producten uitrollen.

“De veiligheid en beveiliging van onze gebruikers staat voorop bij alles wat we doen bij Google, en het is een verantwoordelijkheid die we zeer serieus nemen. De laatste update van Google Authenticator is gemaakt met deze missie in het achterhoofd en we hebben zorgvuldige stappen ondernomen om ervoor te zorgen dat we’ We zijn in staat om het aan gebruikers te leveren op een manier die hun veiligheid en privacy beschermt, maar ook nuttig en handig is.” Computer.

“We versleutelen gegevens tijdens de overdracht en in rust in al onze producten, inclusief Google Authenticator. End-to-end-codering (E2EE) is een krachtige functie die extra bescherming biedt, maar ten koste gaat van het feit dat gebruikers geen toegang meer hebben tot hun privégegevens zonder herstel. Om ervoor te zorgen dat we gebruikers een volledig scala aan opties bieden, zijn we ook begonnen met het uitrollen van optionele E2EE in sommige van onze producten, en we zijn van plan om in de toekomst E2EE voor Google Authenticator aan te bieden.”

Google biedt ook al E2E-codering in sommige van zijn services, zoals Google Chrome, waarmee u dit kunt doen Zet een wachtwoordzin Om gegevens te versleutelen die zijn gesynchroniseerd met Google-accounts.