Google explica por qué Authenticator Sync no es E2EE, la opción llegará más tarde

Google explica por qué Authenticator Sync no es E2EE, la opción llegará más tarde

El lunes, Google Authenticator lanzó la capacidad de sincronizar códigos 2FA con su cuenta de Google. Desde entonces, ha surgido que la capacidad no está cifrada de extremo a extremo (E2EE), y Google explicó por qué hoy.

Investigadores de seguridad en Misk ayer Era fundamental que la nueva capacidad de sincronización de Google Authenticator no estuviera encriptada de extremo a extremo (E2EE) y, por lo tanto, Google podría, en teoría, obtener y replicar sus códigos 2FA.

Esta queja es válida para aquellos que son muy conscientes de la seguridad y no confían en Google (o en un tercero malintencionado) para no acceder a los datos de los usuarios. Aquellos con estas preocupaciones quieren asegurarse de que nadie más que ellos puedan acceder a los códigos 2FA cifrándolos de extremo a extremo con otra clave (o contraseña) que solo ellos conocen.

Google explicó hoy que el objetivo de la nueva función de sincronización de Authenticator es «proporcionar funciones que protejan a los usuarios, PERO que sean útiles y convenientes». Reconociendo que «E2EE es una característica poderosa que brinda protecciones adicionales», la desventaja es que los usuarios pueden «no tener acceso a sus propios datos sin recuperación» si olvidan o pierden la contraseña de su cuenta de Google (o una capa adicional de seguridad adicional).

Google Password Manager hoy ofrece cifrado en el dispositivo que «convierte su dispositivo en una clave utilizada para bloquear sus contraseñas antes de que se guarden en Google Password Manager». Sin embargo, «si pierde la clave, también puede perder sus contraseñas».

Dicho esto, Google «planea ofrecer E2EE para Google Authenticator en el futuro». Mientras tanto, les recordó a los usuarios que pueden continuar usando la aplicación sin conexión o sin la sincronización de la cuenta de Google.

La empresa también tiene añadido hoy que cifra los datos en tránsito y en reposo para Authenticator y todos los demás productos de Google.


Además, si configuró Google Authenticator en varios dispositivos, tenga cuidado al actualizar a la nueva versión y habilitar la sincronización. Durante la sincronización, Google no lo haré reconocer códigos idénticos o fusionarlos automáticamente. Como resultado, podría terminar con muchos duplicados.

Para evitar esto, primero configure la sincronización en su dispositivo principal y luego elimine todas las demás instancias de la aplicación Google Authenticator. Entonces, cuando reinstale la aplicación actualizada en dispositivos secundarios, solo se sincronizará desde su dispositivo principal y no mostrará duplicados.

Kyle Bradshaw contribuyó a esta publicación

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *