Реклама в Telegram-каналах DzikPic и dev.by теперь дешевле. Узнать подробности 👨🏻‍💻
Support us

Коды Google Authenticator при синхронизации с облаком не шифруются — риск взлома высокий

В обновлении Authenticator появилось опциальное резервное копирование и синхронизация паролей двухэтапной аутентифиакции с аккаунтом Google.

1 комментарий
Коды Google Authenticator при синхронизации с облаком не шифруются — риск взлома высокий

В обновлении Authenticator появилось опциальное резервное копирование и синхронизация паролей двухэтапной аутентифиакции с аккаунтом Google.

До этого одноразовые пароли аутентификации генерировались только на устройстве. Потеря гаджета могли привести к тому, что пользователю не было доступен аккаунт, который связан с Google Authenticator. Новая функция решила эту проблему, но принесла другую. Эксперты Mysk обнаружили, что при синхронизации кодов трафик не шифруется «из конца в конец». В незашифрованном трафике есть seed-информация, которая позволяет злоумышленникам генерировать свои коды.

Хакеры могут идентифицировать аккаунты по QR-кодам, которые используются для настройки двухэтапной аутентификации. В них содержится название аккаунта или сервиса. При взломе серверов Google гипотетически может произойти массовая утечка. При этом у пользователя нет возможности добавить парольную фразу, чтобы сделать пароли доступными только для владельца аккаунта. Эксперты посоветовали не включать новую функцию. Компания ответила, что сквозное шифрование аккаунтов появится в будущем.

Google выпустила экстренное обновление для Chrome из-за уязвимости нулевого дня
Google выпустила экстренное обновление для Chrome из-за уязвимости нулевого дня
По теме
Google выпустила экстренное обновление для Chrome из-за уязвимости нулевого дня
NYT: Samsung подумывает отказаться от поисковика Google в смартфонах
NYT: Samsung подумывает отказаться от поисковика Google в смартфонах
По теме
NYT: Samsung подумывает отказаться от поисковика Google в смартфонах
NYT: Google разрабатывает ИИ-поисковик из-за популярности ChatGPT
NYT: Google разрабатывает ИИ-поисковик из-за популярности ChatGPT
По теме
NYT: Google разрабатывает ИИ-поисковик из-за популярности ChatGPT
Новый рекламный формат в наших телеграм-каналах.

Купить 500 символов за $150

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
1 комментарий
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Bubble
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

0

Некогда шифровать, надо як як и в продакшн.