Google planea agregar cifrado de extremo a extremo a Authenticator

Google Authenticator finalmente está obteniendo cifrado de extremo a extremo, eventualmente. Después de que los investigadores de seguridad criticaron a la empresa por no incluir la actualización de sincronización de cuentas de Authenticator, el gerente de producto de Google, Christian Brandt respondió en Twitter Al decir que la empresa “planea ofrecer E2EE” en el futuro.

“Por ahora, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y ofrece beneficios significativos en el uso fuera de línea”, escribe Brandt. “Sin embargo, la opción de usar la aplicación sin conexión es una alternativa para aquellos que desean administrar ellos mismos su estrategia de copia de seguridad”.

A principios de esta semana, Google Authenticator finalmente comenzó a sincronizar los códigos de autenticación de dos factores para los usuarios con sus cuentas de Google, lo que facilita mucho el inicio de sesión en cuentas en nuevos dispositivos.

Si bien este es un cambio bienvenido, también plantea algunas preocupaciones de seguridad, ya que los piratas informáticos que ingresan a la cuenta de Google pueden obtener acceso a otras cuentas como resultado. Si la función es compatible con E2EE, los piratas informáticos y otros terceros, incluido Google, no pueden ver esta información.

Los investigadores de seguridad de Mysk destacaron algunos de estos riesgos En una publicación en Twitter, señaló que “si alguna vez hay una violación de datos o alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA se verán comprometidos”. Google puede utilizar la información vinculada a sus cuentas para ofrecer anuncios personalizados y aconseja a los usuarios que no utilicen la función de sincronización a menos que sea compatible con E2EE.

La marca ha respondido a las críticas, diciendo que Google usa E2EE para “almacenar datos en tránsito y en reposo en nuestros productos, incluida la autenticación de Google”, lo que “les cuesta a los usuarios que no puedan recuperar sus propios datos”. No hay una línea de tiempo sobre cuándo Google realmente traerá E2EE a la nueva función de sincronización de cuentas de Authenticator, sin embargo, los usuarios tendrán la opción de usar la función sin E2EE o continuar usando Google Authenticator sin conexión.