2023/04/27

Google Authenticator sem encriptação E2E nos backups na cloud

O Google Authenticator ganhou a capacidade de manter backups na cloud, mas estes dados não contam com encriptação end-to-end.

Para um produto destinado a quem leva a segurança a sério, poderá estranhar-se que a recente capacidade de se manter as chaves 2FA do Google Authenticator guardadas na cloud e sincronizadas com a conta Google não contem com protecção EE2E (encriptação end-to-end). Isto garantiria que apenas o utilizador teria acesso às mesmas, e que nem a Google lhes pudesse aceder (ou qualquer outra entidade que pudesse exigir o acesso às mesmas).

A Google explica que se deve a uma questão de "conveniência", relembrando que a protecção E2E também pode funcionar contra os utilizadores, no caso de perderem acesso à conta e deixarem de ter acesso aos dados encriptados, sem hipótese de recuperação.


Tendo em conta que os dados são encriptados durante as comunicações entre dispositivo e cloud, a Google considera que este é o melhor equilíbrio entre segurança e conveniência, mas refere que no futuro considerará a opção de adicionar encriptação E2E ao Google Authenticator. Até lá, e para quem não quiser confiar na cloud da Google, mantém sempre a possibilidade de usar o Google Authenticator sem sincronização dos códigos 2FA, tal como era feito anteriormente, deixando as chaves exclusivamente no seu próprio dispositivo.

1 comentário:

  1. Imaginem ter um segundo factor de autenticação cujos dados estão acessíveis às mesmas pessoas que podem obter o primeiro factor de autenticação... diminui a utilidade.
    É claro que a Google não ia colocar os dados bem cifrado ponto-a-ponto, como teriam acesso aos mesmos de outro jeito?

    ResponderEliminar