Görünüşe göre Google Authenticator’daki yeni 2FA hesabı bulut senkronizasyon özelliği uçtan uca şifreli değil, ancak bu özellik daha sonraki bir tarihte gelecek.
Google kısa bir süre önce kimlik doğrulayıcı uygulamasını, kullanıcıların oturum açma kimliklerini doğrulamak için Zamana Dayalı Tek Seferlik Parola (TOTP) gerektiren kayıtlı hesaplarını yedeklemelerine olanak tanıyacak şekilde güncelledi, bu da artık hesaplarını kolayca yeni bir cihaza aktarabilecekleri anlamına geliyor.
Ancak, güvenlik araştırmacıları Mysk bir cıvıldamak (yeni sekmede açılır) uçtan uca şifreli olmadığı için bu işlevin etkinleştirilmemesini tavsiye ediyoruz; bu, Google’ın veya teknoloji devi ihlal edilirse bir üçüncü tarafın kodlarınızı görebileceği anlamına gelir.
Kolaylık değiş tokuşu
Uçtan uca şifreleme, hassas içeriği yalnızca parola gibi bir anahtarla çözülebilecek şekilde gizleyen, güvenliği ve gizliliği artıran bir özelliktir. Örneğin, WhatsApp gibi popüler mesajlaşma uygulamalarının mihenk taşıdır ve içeriğin yalnızca gönderen ve alıcı tarafından görülebilmesini sağlar – WhatsApp’ın kendisi bile bir göz atamaz.
Kimlik ve Güvenlik Ürün Müdürü Christiaan Brand, savundu (yeni sekmede açılır) teknoloji devinin “amacının kullanıcıları koruyan, ANCAK kullanışlı ve kullanışlı özellikler sunmak olduğunu” söyleyerek ihmal.
“Google Authenticator da dahil olmak üzere ürünlerimiz genelinde aktarılan ve kullanılmayan verileri şifreliyoruz. E2EE… ekstra koruma sağlıyor, ancak kullanıcıların kurtarma olmadan kendi verilerine erişememelerini sağlama pahasına.”
Bununla birlikte, E2EE’nin çeşitli Google ürünlerine geleceğini de söyledi, buna şimdi kimlik doğrulayıcı da dahil, bazen “sonradan”. Ayrıca, 2FA hesaplarını Google Hesaplarıyla senkronize etmek zorunda kalmadan uygulamanın çevrimdışı olarak kullanılabileceğini de belirtti.
Google Authenticator’ı kullanıyorsanız, Google Şifre Yöneticisi ile birlikte kullanıyor olabilirsiniz. En iyi şifre yöneticisi olarak bizim seçimimiz olmasa da, cihaz üzerinde şifrelemeye izin verir; bu, kasanıza erişimin kilidini açmak için kendi cihazınızın anahtarı dahili olarak sakladığı anlamına gelir. Ayrıca Google, bu anahtarın “şifrelerinizi Google Şifre Yöneticisine kaydedilmeden önce kilitlemek” için kullanıldığını söylüyor, bu da uçtan uca şifreleme gibi şifrelerinizin Google veya sizden başka kimse tarafından görülemeyeceği anlamına geliyor.
Ancak Google, bunun “anahtarı kaybederseniz şifrelerinizi de kaybedebileceğiniz” anlamına geldiği konusunda uyarıyor. Ancak bu cihazdaki şifre çözme, Google ve diğer büyük teknoloji firmalarının, kimlik bilgileri güvenliğinin geleceği olmasını istedikleri geçiş anahtarları lehine şifreleri tamamen ortadan kaldırma yönündeki çabalarının bir parçası olabilir.