Googleは、研究者が2FAコードをGoogleアカウントと同期しないようにユーザーに警告した後、Google Authenticatorクラウドバックアップにエンドツーエンド暗号化を導入しています.
今週、Google Authenticator は、2FA トークンをクラウドにバックアップできるという待望の機能をついに受け取りました。
この新機能により、ユーザーは Google Authenticator 2FA トークンを Google アカウントと同期でき、モバイル デバイスが紛失または損傷した場合にバックアップを提供できます。
また、ユーザーはすべて同じ Google アカウントにログインしている限り、複数のデバイスで 2FA トークンにアクセスできます。
エンドツーエンドの暗号化なし
しかし、Google Authenticator クラウド同期が発表された直後、Mysk のセキュリティ研究者は、データが Google のサーバーにアップロードされている間、エンド ツー エンドで暗号化されていないことを発見しました。
「アプリがシークレットを同期するときのネットワーク トラフィックを分析したところ、トラフィックがエンドツーエンドで暗号化されていないことが判明しました」とMysk からのツイートを読みます。
「スクリーンショットに示されているように、これは、Google がサーバーに保存されている場合でも、シークレットを見ることができることを意味します。シークレットを保護するためにパスフレーズを追加して、ユーザーのみがアクセスできるようにするオプションはありません。」
エンド ツー エンドの暗号化とは、データが送信されて別のデバイスに保存される前に、所有者だけが知っているパスワードを使用してデバイス上でデータを暗号化することです。このデータは暗号化されているため、データが保存されているサーバーにアクセスできる人であっても、他の人がアクセスすることはできません.
Google Authenticator はエンド ツー エンドの暗号化を提供しないため、データは Google のサーバーに保存され、Google の違反または悪意のある従業員のいずれかを介して、権限のないユーザーがアクセスできる可能性があります。
「すべての 2FA QR コードには、ワンタイム コードの生成に使用されるシークレットまたはシードが含まれています。他の誰かがそのシークレットを知っていれば、同じワンタイム コードを生成して 2FA 保護を破ることができます」と Mysk 氏は続けます。
「そのため、データ侵害が発生したり、誰かがあなたの Google アカウントにアクセスしたりした場合、あなたの 2FA シークレットはすべて危険にさらされることになります。」
もう1つの人気のある認証アプリであるAuthyは、エンドツーエンドで暗号化された2FAトークンのクラウドバックアップを提供するため、長年にわたって人気が高まっています.
Authy でこの機能を使用する場合、ユーザーは知っているパスワードのみを入力する必要があるため、アップロードされたデータはモバイル デバイスから送信される前に暗号化されます。
さらに、Authy は、エンドツーエンドの暗号化パスワードが設定されていない限り、データのバックアップを許可しないため、セキュリティが向上します。
ただし、パスワードを紛失した場合、ユーザーがデータからロックアウトされ、別のデバイスにデータを復元できなくなる可能性があるため、この機能にはリスクがあります。
E2EE が Google Authenticator に登場
Google は、エンド ツー エンドの暗号化の欠如に関するユーザーの懸念を聞き、それを Google Authenticator の将来のバージョンに追加すると述べました。
Google グループのプロダクト マネージャーである Christiaan Brand 氏は、エンド ツー エンドの暗号化によってユーザーが自分のデータからロックアウトされる可能性があるため、この機能を製品に慎重に展開していると語っています。
「ユーザーのセキュリティと安全は、Google で行うすべてのことにとって最優先事項であり、真剣に受け止めている責任です。 Google Authenticator アプリの最近の更新は、その使命を念頭に置いて行われました。セキュリティとプライバシーを保護するだけでなく、便利で便利な方法でユーザーに提供できるように、慎重な措置を講じました。」 .
「Google Authenticator を含む当社の製品全体で、転送中および保管中のデータを暗号化します。エンド ツー エンド暗号化 (E2EE) は、追加の保護を提供する強力な機能ですが、ユーザーがロックアウトされる可能性があります。ユーザーに完全なオプションを確実に提供するために、一部の製品でオプションの E2EE の展開を開始しており、将来的には Google Authenticator に E2EE を提供する予定です。」
Google は、Google Chrome などの一部のサービスで E2E 暗号化も既に提供しています。これにより、 パスフレーズを設定して、Google アカウントと同期されたデータを暗号化できます。
Comments