Google Authenticator: torna indietro dopo la sincronizzazione del testo normale

Date:

Share post:

Alessandro Manzoni
Alessandro Manzoni
"Lifelong beer expert. General travel enthusiast. Social media enthusiast. Zombie expert. Communicator."

Google ha integrato la funzionalità spesso richiesta nell’autenticazione, mediante la quale i semi segreti, necessari per calcolare un token una tantum come secondo fattore, possono essere sincronizzati e recuperati su altri dispositivi. Tuttavia, la società ha rilasciato la responsabilità di trasmettere questi dati in chiaro. Google ora sta cercando di limitare i danni: all’autenticazione deve arrivare la crittografia end-to-end.

Ieri è stato annunciato che la funzione di sincronizzazione segreta “seed” potrebbe essere attivata come previsto. Tuttavia, i dati erano solo codificati in Base32, cioè de facto testo normale, su tutta la linea. heise Security è stata in grado di riprodurlo nei propri test.

Poiché il segreto può effettivamente essere utilizzato per revocare l’autenticazione a più fattori, deve sempre rimanere a disposizione del legittimo proprietario. Tuttavia, con il metodo attuale, Google o gli aggressori nella posizione di intermediario nella rete potrebbero ottenere l’accesso a questi dati sensibili. Per questo motivo, Heise Security attualmente sconsiglia l’utilizzo di Google Authenticator.

Google ha ora preso posizione su questo argomento. “La sicurezza dei nostri utenti viene prima di tutto in tutto ciò che facciamo in Google”, ha detto a Heise Online una portavoce dell’azienda. “Prendiamo seriamente questa responsabilità. Il recente aggiornamento dell’app Google Authenticator è stato implementato con questa missione in mente, passaggi accurati per garantire che lo presentiamo agli utenti in un modo che protegga la loro sicurezza e privacy, ma sia anche utile e conveniente.

Ha continuato affermando che i dati sono crittografati in transito e inattivi in ​​tutti i prodotti, incluso Google Authenticator. “La crittografia end-to-end (E2EE) è una potente funzionalità che fornisce una protezione aggiuntiva. Per garantire ai nostri utenti tutte le opzioni, abbiamo iniziato a offrire E2EE come opzione in alcuni dei nostri prodotti e prevediamo di offrire E2EE per Google Autenticatore in futuro.”

La trasmissione avviene tramite una connessione sicura TLS, sebbene gli endpoint funzionino con informazioni in testo normale, per quanto è possibile comprendere l’istruzione. Tuttavia, Google non fornisce un lasso di tempo per quando la crittografia end-to-end uscirà per Google Authenticator. Fino a quando gli sviluppatori non modificheranno la funzionalità, heise Security si atterrà alla raccomandazione precedente di utilizzare un autenticatore diverso. Altre app come Authy offrono anche la sincronizzazione e il backup dei segreti TOTP, ma li proteggono solo con una password principale nota all’utente.


(DMK)

alla pagina iniziale

Related articles

Disney+ rimuove Dolby Vision e contenuti 3D in Italia: funzionalità premium limitate per molti utenti europei

Nuova stretta sulle funzionalità avanzate della piattaforma streaming Disney+ ha nuovamente limitato alcune delle sue caratteristiche più avanzate in...

Crisi delle RAM: anche Apple valuta aumenti di prezzo, Tim Cook parla di situazione “insostenibile”

Dopo anni in cui è riuscita ad assorbire l’aumento dei costi dei componenti senza trasferirli ai consumatori, Apple...

Il governo italiano alle prese con il nodo della tassa sui pacchi extra UE

Dal 1° luglio rischio doppio prelievo sugli acquisti online provenienti da Paesi extraeuropei A poche settimane dall’entrata in vigore...

Tempesta solare “cannibale” verso la Terra: possibile aurora boreale visibile anche dall’Italia

Una nuova e intensa attività del Sole potrebbe regalare uno spettacolo raro anche nei cieli italiani. Nella notte...