Negli scorsi giorni Google Authenticator ha lanciato la possibilità di sincronizzare i codici 2FA con il tuo account Google. Da allora è emerso che la funzionalità non è crittografata end-to-end (E2EE) e Google ha spiegato il motivo.
Il backup sul cloud dei codici 2FA di Google Authenticator non è crittografato
I ricercatori di sicurezza di Mysk sono stati molto critici sul fatto che la nuova funzionalità di sincronizzazione di Google Authenticator non è crittografata end-to-end (E2EE) e, pertanto, Google potrebbe, in teoria, ottenere e replicare i tuoi codici 2FA. Questo reclamo è valido per coloro che sono molto attenti alla sicurezza e non si fidano di Google (o di una terza parte malintenzionata) per non accedere ai dati degli utenti.
https://twitter.com/mysk_co/status/1651021165727477763
Coloro che hanno queste preoccupazioni vogliono fare in modo che nessuno tranne loro possa accedere ai codici 2FA crittografandoli end-to-end con un’altra chiave (o passcode) di cui solo loro sono a conoscenza.
La convenienza vince sempre sulla sicurezza
Google ha spiegato oggi che l’obiettivo della nuova funzione di sincronizzazione di Authenticator è “offrire funzionalità che proteggano gli utenti, MA siano utili e convenienti“. Riconoscendo che “E2EE è una potente funzionalità che fornisce protezioni extra“, lo svantaggio è che gli utenti potrebbero “rimanere bloccati fuori dai propri dati senza recupero” se dimenticano o perdono la password del proprio account Google (o un ulteriore livello di sicurezza aggiuntiva).
(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023
L’azienda poi ricorda che il Google Password Manager offre la crittografia sul dispositivo che “trasforma il tuo dispositivo in una chiave utilizzata per bloccare le tue password prima che vengano salvate in Google Password Manager“. Tuttavia, “se perdi la chiave, potresti perdere anche le tue password“.
Detto questo, Google “prevede di offrire E2EE per Google Authenticator su tutta la linea“. Nel frattempo, ha ricordato agli utenti che possono continuare a utilizzare l’app offline/senza la sincronizzazione dell’account Google.
Alternative a Google Authenticator
O, aggiungiamo noi, non utilizzare affatto Google Authenticator e affidarsi a soluzioni open source e altrettanto valide come Aegis su Android o, ancora meglio, a chiavi di sicurezza fisiche come le Yubikey.
