Google Authenticatorin uusi synkronointitoiminto ei ole päästä päähän salattu – nyt Google paljasti syyn ja tulevat suunnitelmansa

Google kertoi maanantaina 24. huhtikuuta kaksivaiheisessa tunnistautumisessa käytettävien jatkuvasti vaihtuvien kirjautumiskoodien Google Authenticatorin päivittymisestä synkronoinnilla.

Jatkossa Google Authenticatorin tiedot voi synkronoida Google-tilille, jonka myötä koodien käytön jatkaminen ei ole sidoksissa yksittäiseen laitteeseen.

Tietoturvatutkijat ovat kuitenkin varoittaneet Googlen uudistuksesta, sillä Google Authenticatorin Google-tilille synkronoitavissa tiedoissa ei käytetä päästä päähän -salausta.

Päästä päähän -salauksen puuttuminen tarkoittaa sitä, että teoriassa Google voisi saada tietoonsa kaksivaiheisen tunnistautumisen koodit, minkä lisäksi ne voisivat päätyä hyökkääjien käsiin poikkeuksellisessa tietomurrossa.

Mahdollisimman hyvää tietoturvaa arvostavien ei kannatakaan käyttää Google Authenticatorin uutta synkronointitoimintoa, joka on valinnainen.

Google on nyt selittänyt, miksi Authenticatorin Google-tilille synkronoitvat tiedot eivät ole päästä päähän salattuja.

Googlen Christiaan Brand kertoi Twitterissä, että Googlen tavoitteena on tarjota ominaisuuksia, jotka suojaavat käyttäjiä, mutta ovat myös hyödyllisiä ja helppokäyttöisiä. Brandin mukaan päästä päähän -salaus on tehokas lisäsuojaa tarjoava toiminto, mutta sen vastapuolena käyttäjät voisivat menettää tietonsa ilman mahdollisuutta palauttaa niitä, jos he unohtaisivat esimekriksi Google-tilinsä salasanan.

Brand muistuttaa Googlen kyllä salaavan tiedot niitä siirrettäessä ja tallennettaessa. Päästä päähän -salauksesta tämä eroaa siinä, että käyttäjän lisäksi myös Googlella on tiedot avaava salausavain.

Brandin mukaan Google on aloittanut tuomaan päästä päähän -salausta tarjolle valinnaisena toimintona osassa palveluitaan, ja myös Google Authenticatorin osalta suunnitelmissa on aikanaan tarjota mahdollisuus päästä päähän -salaukseen.

Googlen palveluista esimerkiksi salasanojen hallinta (Password Manager) tarjoaa jo valinnaisen kattavamman salauksen.

(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.

— Christiaan Brand (@christiaanbrand) April 26, 2023

(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.

— Christiaan Brand (@christiaanbrand) April 26, 2023

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla