Para um produto destinado a quem leva a segurança a sério, poderá estranhar-se que a recente capacidade de se manter as chaves 2FA do Google Authenticator guardadas na cloud e sincronizadas com a conta Google não contem com protecção EE2E (encriptação end-to-end). Isto garantiria que apenas o utilizador teria acesso às mesmas, e que nem a Google lhes pudesse aceder (ou qualquer outra entidade que pudesse exigir o acesso às mesmas).
A Google explica que se deve a uma questão de "conveniência", relembrando que a protecção E2E também pode funcionar contra os utilizadores, no caso de perderem acesso à conta e deixarem de ter acesso aos dados encriptados, sem hipótese de recuperação.
(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.
— Christiaan Brand (@christiaanbrand) April 26, 2023
Tendo em conta que os dados são encriptados durante as comunicações entre dispositivo e cloud, a Google considera que este é o melhor equilíbrio entre segurança e conveniência, mas refere que no futuro considerará a opção de adicionar encriptação E2E ao Google Authenticator. Até lá, e para quem não quiser confiar na cloud da Google, mantém sempre a possibilidade de usar o Google Authenticator sem sincronização dos códigos 2FA, tal como era feito anteriormente, deixando as chaves exclusivamente no seu próprio dispositivo.
Imaginem ter um segundo factor de autenticação cujos dados estão acessíveis às mesmas pessoas que podem obter o primeiro factor de autenticação... diminui a utilidade.
ResponderEliminarÉ claro que a Google não ia colocar os dados bem cifrado ponto-a-ponto, como teriam acesso aos mesmos de outro jeito?