การซิงก์ Google Authenticator ไม่ได้ใช้การเข้ารหัส

 (defcon.social)
8 คะแนน โดย kuroneko 2023-04-26 | 4 ความคิดเห็น | แชร์ทาง WhatsApp
  • จากการวิเคราะห์ฟีเจอร์ซิงก์ขึ้นคลาวด์ของ Google Authenticator พบว่าไม่ได้เข้ารหัสแบบ end-to-end
  • โค้ดยืนยันตัวตนสองชั้นทั้งหมดที่ซิงก์ไว้ อาจถูกเก็บบนเซิร์ฟเวอร์ของ Google โดยไม่มีการเข้ารหัส และอาจเผชิญความเสี่ยงด้านความปลอดภัย
    • ทันทีที่บัญชี Google ถูกแฮ็ก โค้ดยืนยันตัวตนสองชั้นทั้งหมดก็จะรั่วไหลไปด้วย
    • Google สามารถตรวจดูโค้ดยืนยันตัวตนสองชั้นทั้งหมดได้
  • ในช่วงนี้แนะนำว่าไม่ควรใช้ฟีเจอร์ซิงก์ขึ้นคลาวด์
  • บริการลักษณะใกล้เคียงกันอย่าง Authy จะเข้ารหัสก่อนส่งโค้ดยืนยันตัวตนสองชั้นไปยังเซิร์ฟเวอร์

บทความที่เกี่ยวข้อง

4 ความคิดเห็น

 
woosuk 2023-04-26

คงต้องใช้ Authy แทนแล้วล่ะ... Google ก็ยังเป็น Google เหมือนเดิม
 
minkang 2023-04-26

พอเห็นว่า Google ก็มีการซิงก์เลยคิดว่าจะย้ายไปใช้ดู แต่แบบนี้คงต้องใช้ Authy ต่อไปเหมือนเดิม..
 
xguru 2023-04-26

งั้นก็คงต้องอยู่กับ Authy ต่อไปสินะ ฮือ
 
kuroneko 2023-04-26

ผมคิดว่าถ้าจะสำรองรหัสยืนยันตัวตนแบบ 2 ขั้นตอน การเข้ารหัสแบบต้นทางถึงปลายทางเป็นสิ่งจำเป็นเสียอีก...
แบบนี้ก็คงยังใช้งานได้ยากอยู่ดี

ส่วนประเด็นในเนื้อหาที่ว่า "Google สามารถเห็นรหัส 2FA ทั้งหมดได้" นั้น แทนที่จะหมายความว่า Google ทำแบบนั้นจริง ๆ ...
น่าจะหมายถึงว่าหากเกิดเหตุข้อมูลรั่วไหลที่ Google หรือมีปัญหาทางกฎหมาย ก็อาจทำให้ข้อมูลรั่วไหลได้ประมาณนั้นครับ