Parece que la nueva función de sincronización en la nube de la cuenta 2FA en Google Authenticator no está encriptada de extremo a extremo, pero esta función estará disponible en una fecha posterior.
Google actualizó recientemente su aplicación de autenticación para permitir a los usuarios hacer una copia de seguridad de sus cuentas guardadas que requieren un código de acceso único basado en el tiempo (TOTP) para autenticar su inicio de sesión, lo que significa que ahora pueden transferirlas fácilmente a un nuevo dispositivo.
Sin embargo, los investigadores de seguridad Mysk enviaron un Pío (se abre en una pestaña nueva) desaconsejando activar esta funcionalidad, ya que no está encriptada de extremo a extremo, lo que significa que Google o un tercero, si se infringe el gigante tecnológico, podría ver sus códigos.
Compensación de conveniencia
El cifrado de extremo a extremo es una función que mejora la seguridad y la privacidad que ofusca el contenido confidencial para que solo pueda decodificarse con una clave, como una contraseña. Por ejemplo, es la piedra angular de aplicaciones de mensajería populares como WhatsApp, lo que garantiza que el contenido solo pueda ser visto por el remitente y el receptor; ni siquiera WhatsApp puede echar un vistazo.
Christiaan Brand, gerente de productos de identidad y seguridad, defendido (se abre en una pestaña nueva) la omisión al decir que el «objetivo del gigante tecnológico es ofrecer funciones que protejan a los usuarios, PERO que sean útiles y convenientes».
Agregó que «ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator. E2EE… proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados y no puedan recuperar sus propios datos».
Sin embargo, también dijo que E2EE llegará a varios productos de Google, incluido ahora el autenticador, en algún momento «más adelante». También señaló que la aplicación aún se puede usar sin conexión sin tener que sincronizar las cuentas 2FA con su cuenta de Google.
Si está utilizando Google Authenticator, entonces puede estar usándolo junto con Google Password Manager. Si bien no es nuestra elección como el mejor administrador de contraseñas, permite el cifrado en el dispositivo, lo que significa que su propio dispositivo almacena la clave internamente para desbloquear el acceso a su bóveda. Además, Google dice que esta clave se usa para «bloquear sus contraseñas antes de que se guarden en el Administrador de contraseñas de Google», lo que significa que, al igual que el cifrado de extremo a extremo, sus contraseñas no pueden ser vistas por Google ni por nadie más que usted.
Sin embargo, Google advierte que esto significa que «si pierde la clave, también podría perder sus contraseñas». Pero este descifrado en el dispositivo podría ser parte del impulso de Google y otras grandes empresas tecnológicas para deshacerse de las contraseñas en favor de las claves de acceso, que quieren que sea el futuro de la seguridad de las credenciales.