Güvenlik Uzmanları, Google Authenticator'ın Yeni Senkronizasyon Özelliğine Karşı Çıkıyor
Google Authenticator'ın senkronizasyon özelliği gerçekten güvenli mi?
En son Google Authenticator güncellemesi, hesap senkronizasyonunu ekler. Temel olarak, artık telefonunuzu kaybederseniz veya yükseltirseniz kullanışlı olabilecek tek seferlik şifreleri Google hesabınıza kaydedebilirsiniz. Ancak, garip bir şekilde, güvenlik araştırmacıları bu çok talep edilen özellikten memnun değil.
Yakın tarihli bir tweet'te geliştirici ve güvenlik araştırmacısı Mysk, Google Authenticator'ın senkronizasyon özelliğinin uçtan uca şifreleme kullanmaz. Dolayısıyla, birisi senkronizasyon verilerinizi ele geçirirse (veri ihlali yoluyla veya Google Hesabınızı ele geçirerek), Kimlik Doğrulayıcınızın tek seferlik şifreler oluşturmak için kullandığı çekirdeği bulabilir. Bilgisayar korsanı buradan, Authenticator hesabınızla ilişkili herhangi bir web sitesi için tek seferlik parolalar oluşturabilir.
Ek olarak Mysk, Google Authenticator 2FA QR kodlarının web sitesi ve hesap adları içerdiğini not eder. Bu özellik uçtan uca şifreleme kullanmadığından, Google, Authenticator'ın senkronizasyon özelliğini kullandığınızda bu kişisel verilere erişebilir. (Şahsen bunu tartışmalı bir nokta olarak görüyorum. Google, hangi web sitelerini kullandığınızı zaten biliyor. Kimlik Doğrulayıcı verilerinize bakarak çığır açıcı hiçbir şey öğrenmeyecek.)
(1/4) Daima güvenlik ve emniyete odaklanırız. @google kullanıcılar ve en son Google Authenticator güncellemeleri bir istisna değildi. Amacımız, kullanıcıları koruyan ANCAK kullanışlı ve kullanışlı özellikler sağlamaktır.
— Christiaan Markası (@christiaanbrand) Nisan 26 2023
Google'ın bu endişelere oldukça ölçülü bir yanıtı var. Hıristiyan markasıGoogle Identity and Security ürün yöneticisi , Authenticator'ın senkronizasyon özelliğinin amacının, kullanıcıların 2FA ile ilişkili hesaplara erişiminin engellenmesini önlemek olduğunu açıklıyor. Bu nedenle, bu yedeklere erişimin nispeten kolay olması gerekir.
Christiaan Brand, tam uçtan uca şifrelemenin muhtemelen Authenticator verilerini Google Hesaplarıyla senkronize eden kullanıcılar için isteğe bağlı bir ayar olarak "sonradan bir yere" geleceğini söylüyor.
Ancak, her iki durumda da, Authenticator'ın senkronizasyon özelliğinin güvenlik ve rahatlık arasında bir denge kurması gerekiyor gibi görünüyor, bu da 2FA'yı güvenlik araştırmacılarının umduğundan çok daha az kullanışlı hale getirebilir. Bir şirkete saldırmak isteyen bilgisayar korsanları bunu genellikle çalışanlarını hedef alarak yaptıklarından, bu özellikle kurumsal alanda geçerlidir.
İyi haber şu ki, Authenticator'ın senkronizasyon özelliği isteğe bağlıdır. Ve kendinizi 2FA korumalı hesaplara erişiminizin kesildiğini fark ederseniz, genellikle hesaba yeniden erişim sağlamanın bir yolu vardır (bu sadece bir baş ağrısıdır ve bir çalışma ortamında biraz gariptir).
