Коды Google Authenticator при синхронизации с облаком не шифруются — риск взлома высокий
В обновлении Authenticator появилось опциальное резервное копирование и синхронизация паролей двухэтапной аутентифиакции с аккаунтом Google.
В обновлении Authenticator появилось опциальное резервное копирование и синхронизация паролей двухэтапной аутентифиакции с аккаунтом Google.
До этого одноразовые пароли аутентификации генерировались только на устройстве. Потеря гаджета могли привести к тому, что пользователю не было доступен аккаунт, который связан с Google Authenticator. Новая функция решила эту проблему, но принесла другую. Эксперты Mysk обнаружили, что при синхронизации кодов трафик не шифруется «из конца в конец». В незашифрованном трафике есть seed-информация, которая позволяет злоумышленникам генерировать свои коды.
Хакеры могут идентифицировать аккаунты по QR-кодам, которые используются для настройки двухэтапной аутентификации. В них содержится название аккаунта или сервиса. При взломе серверов Google гипотетически может произойти массовая утечка. При этом у пользователя нет возможности добавить парольную фразу, чтобы сделать пароли доступными только для владельца аккаунта. Эксперты посоветовали не включать новую функцию. Компания ответила, что сквозное шифрование аккаунтов появится в будущем.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
Некогда шифровать, надо як як и в продакшн.