Google plant, das Authenticator-Tool um eine Ende-zu-Ende-Verschlüsselung zu erweitern
Google Authenticator erhält End-to-End-Verschlüsselung – endlich. Nachdem Sicherheitsforscher das Unternehmen dafür kritisiert hatten, dass es nicht in das Authenticator-Kontosynchronisierungsupdate aufgenommen wurde, erklärte Google-Produktmanager Christiaan Brand Er antwortete auf Twitter indem man sagt, dass das Unternehmen „Pläne hat, E2EE in der Zukunft einzuführen“.
„Im Moment glauben wir, dass unser bestehendes Produkt für die meisten Benutzer die richtige Balance findet und erhebliche Vorteile gegenüber der Offline-Nutzung bietet“, schrieb Brand. „Die Option, die App offline zu nutzen, bleibt jedoch eine Alternative für diejenigen, die ihre eigene Backup-Strategie verwalten möchten.“
Anfang dieser Woche hat Google Authenticator damit begonnen, Benutzern endlich die Möglichkeit zu geben, Zwei-Faktor-Authentifizierungscodes mit ihren Google-Konten zu synchronisieren, was es viel einfacher macht, sich auf neuen Geräten bei Konten anzumelden.
Dies ist zwar eine willkommene Änderung, wirft aber auch einige Sicherheitsbedenken auf, da Hacker, die in das Google-Konto einer Person eindringen, möglicherweise Zugriff auf eine Vielzahl anderer Konten erhalten könnten. Wenn die Funktion E2EE unterstützt, können Hacker und andere Dritte, einschließlich Google, diese Informationen nicht sehen.
Sicherheitsforscher Misk haben einige dieser Risiken hervorgehoben In einem Beitrag auf Twitter, in der es heißt, dass „im Falle einer Datenschutzverletzung oder wenn sich jemand Zugang zu Ihrem Google-Konto verschafft, alle Ihre Zwei-Faktor-Authentifizierungsgeheimnisse kompromittiert werden“. Sie fügten hinzu, dass Google möglicherweise mit Ihren Konten verknüpfte Informationen verwendet, um personalisierte Anzeigen zu schalten, und rieten den Benutzern auch, die Synchronisierungsfunktion nicht zu verwenden, bis E2EE unterstützt wird.
Die Marke wies die Kritik zurück und sagte, dass Google zwar „Daten bei der Übertragung und im Ruhezustand über unsere Produkte hinweg verschlüsselt, einschließlich Google Authenticator“, E2EE jedoch „auf Kosten der Möglichkeit geht, Benutzern zu ermöglichen, ihre eigenen Daten ohne Wiederherstellung zu haben“. Es gibt jedoch noch keinen Zeitplan dafür, wann Google E2EE tatsächlich in die neue Kontosynchronisierungsfunktion von Authenticator bringen wird, sodass Benutzer die Möglichkeit haben, die Funktion ohne E2EE zu verwenden oder Google Authenticator weiterhin offline zu verwenden.