Let op, Google Authenticator's 2FA codes zijn niet altijd versleuteld
Eerder deze week
liet Google weten dat het eigen Google Authenticator nu ook ondersteuning biedt voor Google Account synchronisatie: “Across all of your online accounts, signing in is the front door to your personal information. It’s also the primary entry point for risks, making it important to protect.”
Daarin was ook bovenstaande zin te vinden, logisch, want iedereen weet dat het een goed idee is om je privé-informatie goed te beschermen. Maar de tweet hieronder waarschuwt dat het op dit moment helemaal niet zo’n goed idee is om deze Google Authenticator met twee-factor-authenticatie (2FA) te gebruiken, want niet het hele traject is beveiligd met eind-tot-eind-versleuteling.
https://twitter.com/mysk_co/status/1651021165727477763Google heeft inmiddels
al gereageerd, hieronder de vertaalde versie daarvan:
We zijn altijd gericht op de veiligheid en beveiliging van Google-gebruikers, en de nieuwste updates voor Google Authenticator vormden daarop geen uitzondering. Ons doel is om functies te bieden die gebruikers beschermen, maar ook nuttig en handig zijn. We versleutelen gegevens onderweg en in ruste in al onze producten, ook in Google Authenticator.
E2EE [end-to-end-encryptie] is een krachtige functie die extra bescherming biedt, maar ten koste gaat van de mogelijkheid dat gebruikers zonder herstel van hun eigen gegevens worden afgesloten. Om ervoor te zorgen dat we gebruikers een volledige reeks opties bieden, zijn we begonnen met de uitrol van optionele E2EE-encryptie in sommige van onze producten, en we hebben plannen om E2EE voor Google Authenticator aan te bieden.
Op dit moment denken we dat ons huidige product voor de meeste gebruikers de juiste balans vormt en aanzienlijke voordelen biedt ten opzichte van offline gebruik. De optie om de app offline te gebruiken blijft echter een alternatief voor degenen die hun back-upstrategie liever zelf beheren.
Bij Google hebben ze dus best een goede reden om hiervoor te kiezen, maar het zou op zijn minst netjes zijn geweest als ze dat zelf vooraf hadden gecommuniceerd. Kies je het zekere voor het onzekere, dan kan je voorlopig dus Google Authenticator maar beter links laten liggen.
#Google