Now Reading: Google agregará cifrado de extremo a extremo a Google Authenticator
-
01
Google agregará cifrado de extremo a extremo a Google Authenticator
Google agregará cifrado de extremo a extremo a Google Authenticator
Google está incorporando el cifrado de extremo a extremo a las copias de seguridad en la nube de Google Authenticator después de que los investigadores advirtieran a los usuarios que no sincronizaran los códigos 2FA con sus cuentas de Google.
Esta semana, Google Authenticator finalmente recibió la característica tan esperada de poder hacer una copia de seguridad de los tokens 2FA en la nube.
Esta nueva función permite a los usuarios sincronizar sus tokens 2FA de Google Authenticator con su cuenta de Google, proporcionando una copia de seguridad si su dispositivo móvil se pierde o se daña.
También permite a los usuarios acceder a sus tokens 2FA en varios dispositivos, siempre que todos hayan iniciado sesión en la misma cuenta de Google.
Sin cifrado de extremo a extremo
Sin embargo, poco después de que se anunciara la sincronización en la nube de Google Authenticator, los investigadores de seguridad de Mysk descubrieron que los datos no se cifraban de extremo a extremo mientras se cargaban en los servidores de Google.
“Analizamos el tráfico de la red cuando la aplicación sincroniza los secretos y resulta que el tráfico no está encriptado de extremo a extremo”, se lee en un tuit de Mysk .
“Como se muestra en las capturas de pantalla, esto significa que Google puede ver los secretos, probablemente incluso mientras están almacenados en sus servidores. No hay opción para agregar una frase de contraseña para proteger los secretos, para que solo el usuario pueda acceder a ellos”.
El cifrado de extremo a extremo es cuando los datos se cifran en un dispositivo utilizando una contraseña que solo conoce el propietario antes de que se transmitan y almacenen en otro dispositivo. Como estos datos están encriptados, nadie más puede acceder a ellos, incluso aquellos con acceso al servidor en el que se almacenan los datos.
Dado que Google Authenticator no ofrece cifrado de extremo a extremo, los datos se almacenan en el servidor de Google en un formato al que podrían acceder usuarios no autorizados, ya sea a través de una infracción de Google o de un empleado sin escrúpulos.
“Cada código QR 2FA contiene un secreto, o una semilla, que se usa para generar los códigos de un solo uso. Si alguien más conoce el secreto, puede generar los mismos códigos de un solo uso y anular las protecciones de 2FA”, continuó Mysk.
“Entonces, si alguna vez hay una violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA se verán comprometidos”.
Authy, otra aplicación de autenticación popular, ha ganado popularidad a lo largo de los años, ya que ofrece copias de seguridad en la nube de tokens 2FA que están encriptados de extremo a extremo.
Al usar esta función en Authy, los usuarios deben ingresar una contraseña que solo ellos conocen, lo que hace que los datos cargados se cifren antes de que salgan de su dispositivo móvil.
Además, Authy no permite realizar copias de seguridad de los datos a menos que se establezca una contraseña de cifrado de extremo a extremo, lo que proporciona una mayor seguridad.
Sin embargo, esta función presenta un riesgo, ya que los usuarios podrían quedar bloqueados y no poder restaurarlos en otro dispositivo si pierden la contraseña.
E2EE llega a Google Authenticator
Google escuchó las preocupaciones de los usuarios sobre la falta de cifrado de extremo a extremo y dijo que lo agregaría a una versión futura de Google Authenticator.
El gerente de productos del grupo Google, Christiaan Brand, le dijo a BleepingComputer que debido a la posibilidad de que el cifrado de extremo a extremo provoque que los usuarios queden bloqueados de sus propios datos, están implementando esta función cuidadosamente en sus productos.
“La seguridad de nuestros usuarios es primordial en todo lo que hacemos en Google y es una responsabilidad que nos tomamos muy en serio. La actualización reciente de la aplicación Google Authenticator se realizó con esa misión en mente y tomamos medidas cuidadosas para asegurarnos de poder ofrecerla a los usuarios de una manera que proteja su seguridad y privacidad, pero que también sea útil y conveniente”, dijo Brand. BleepingComputer.
“Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator. El cifrado de extremo a extremo (E2EE) es una característica poderosa que proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados de sus propios datos sin recuperación. Para asegurarnos de que estamos ofreciendo un conjunto completo de opciones para los usuarios, también hemos comenzado a implementar E2EE opcional en algunos de nuestros productos, y planeamos ofrecer E2EE para Google Authenticator en el futuro”.
Google también proporciona cifrado E2E en algunos de sus servicios, como Google Chrome, que le permite establecer una frase de contraseña para cifrar los datos sincronizados con las cuentas de Google.
Related Posts
Stay Informed With the Latest & Most Important News
Previous Post
Next Post
Advertisement
frenify: Thank you for your kind words! We’re glad you enjoyed the post. Stay tuned for more content – we’ve got plenty more coming your way.
frenify: I really enjoyed reading this. The content is informative, and the layout makes it so easy to follow. Looking forward to more posts like this! Keep up the great work!