今週初めに更新された Google Authenticator アプリは、Google アカウントを介してクラウドベースの 2 要素認証 (2FA) を可能にします。 エンドツーエンドで暗号化されていない、ソフトウェア会社 Mysk によると。
「アプリがシークレットを同期するときのネットワーク トラフィックを分析したところ、トラフィックがエンドツーエンドで暗号化されていないことが判明しました」と Mysk 氏は Twitter で述べ、Gizmodo が水曜日に報じた. 「スクリーンショットに示されているように、これは、おそらくサーバーに保存されている間でも、Google がシークレットを見ることができることを意味します。シークレットを保護するためにパスフレーズを追加するオプションはありません。」
シークレットは サイバーセキュリティの専門用語 保護された情報または機密情報のロックを解除するために使用される個人情報の一部。
Mysk のセキュリティ研究者は、デバイス間およびクラウド間で 2FA コードを同期する機能を有効にしないことを人々に推奨しています。
待望の 2FA 機能により、携帯電話を紛失したり盗まれたりしても、コードにアクセスできます。 これは、元のデバイスがすぐに利用できない場合でも、Gmail、バンキング アプリ、または 2FA を可能にする他の多数のサービスに、Google アカウント経由でアクセスできるコードがあることを意味します。 残念ながら、この機能を有効にすると、少なくとも現時点では、同じレベルの暗号化が欠けています。
「エンド ツー エンド暗号化 (E2EE) は、追加の保護を提供する強力な機能ですが、ユーザーが自分のデータを復元せずにロックアウトできるという代償を払っています」と、Google の広報担当者は電子メールで CNET に語った。 「ユーザーに完全なオプションを確実に提供するために、一部の製品でオプションの E2EE の展開を開始しており、将来的には Google Authenticator に E2EE を提供する予定です。」
Google は、利便性のためにこの機能を最初の方法で提供したと述べています。
2FA は、パスワードに加えて追加のセキュリティ層を提供します。 Authenticator アプリを介して生成される追加のコードにより、悪意のある人物がパスワードだけでアカウントにログインするのを防ぐことができます。 しかし、大手テック企業にとって、パスワードは最終的にアカウントを安全に保つための脆弱で効果のない方法です。
Google、Apple、Microsoft は、FIDO アライアンス (“fast identity online” の略) で団結しました。 目標は、Web サイトで生体認証ログイン用のパスワードを廃止することです。 これには、指紋スキャンまたは顔スキャンが含まれます。 また、電話認証を含めることもできます。 Web サイトを「パスワードレスの未来」に切り替えるには時間がかかりますが、それまでは 2FA がアカウントを安全に保つための重要な方法であり続けます。