“Den store forbedringen alle med passord har ventet på,” skrev vi tirsdag denne uken. Nå er vi ikke så sikre lenger om det lønner seg å aktivere sky-lagring i “Google Authenticator.”
Informasjonen er ikke kryptert avslører sikkerhetsselskap
“Den store fordelen med den nye versjonen er at engangspassordene lagres i skyen og koblet mot Google-kontoen, slik at man enkelt kan hente tilbake igjen tapt informasjon om noe skulle inntreffe. Slik det fungerer nå er all informasjon lagret kun på enheten.”
Nå vises det seg at systemet som sender nøklene over nettet til Google-kontoen ikke er kryptert. Enda. For Google melder at kryptering er på vei. Når forbedringen kommer, det vet vi ikke.
Google lover kryptering “i fremtiden”
“Vi analyserte nettverkstrafikken når appen synkroniserer. Det viser seg at trafikken ikke er ende-til-ende-kryptert. Som vist på skjermbildene betyr dette at Google kan se passordene, sannsynligvis selv når de er lagret på deres servere. Det er ingen mulighet for å legge til en passordfrase for å beskytte hemmelighetene,” forklarer Mysk.
Mysk advarer mot bruk og anbefaler derfor å ikke aktivere sky-synkronisering. Etter Mysk sin avsløring uttaler Google at “for å sikre at vi tilbyr et komplett sett med alternativer for brukere, har vi også begynt å rulle ut valgfri E2EE i noen av produktene våre. Vi planlegger å tilby E2EE for Google Authenticator i fremtiden.” Til det skjer kan det lønne seg å ikke aktivere dette.
Annonse
