Google al lavoro sulla crittografia e2e per i codici di backup Authenticator-2fa – Informatica – Novità

I codici di backup 2fa che l’app Google Authenticator può generare da questa settimana non sono crittografati end-to-end. Google lo conferma dopo la scoperta dei ricercatori sulla privacy Mysk. Google dice che sta lavorando alla crittografia end-to-end.

I dati vengono archiviati crittografati durante la trasmissione e a riposo, dice Christian Brand, Group Product Manager presso Google. Tuttavia, questa crittografia non è end-to-end. Google afferma di aver scelto questo perché la crittografia end-to-end comporta il rischio che l’utente venga bloccato dai propri dati. L’attuale implementazione sarebbe quindi un “giusto equilibrio” tra sicurezza e facilità d’uso, afferma Brand.

Tuttavia, la società prevede di rilasciare questa crittografia end-to-end, sebbene Brand non dica quando ciò accadrà. Con l’aggiunta della crittografia end-to-end, Google vuole garantire che gli utenti abbiano “tutte le opzioni a loro disposizione”. Il marchio sottolinea inoltre che gli utenti possono disabilitare i codici di backup su cloud e quindi utilizzare l’app offline.

I tweet del brand sono una risposta alle scoperte fatte da due ricercatori sulla privacy che si unirono sotto il nome di Mysk. Sulla base del traffico di rete, questi ricercatori hanno scoperto che il file segreti per creare un codice 2fa, non vengono inviati con crittografia end-to-end. Google o qualcuno con accesso ai dati di Google potrebbe vedere i segreti, affermano i ricercatori. La società ha rilasciato la funzione di backup su cloud all’inizio di questa settimana.

(3/4) Per assicurarci di offrire agli utenti una serie completa di opzioni, abbiamo iniziato a implementare la crittografia E2E opzionale in alcuni dei nostri prodotti e prevediamo di offrire E2EE per Google Authenticator in futuro.

— Cristiano Marco (@christiaanbrand) 26 aprile 2023