تطبيق Google Authenticator ، الذي تم تحديثه في وقت سابق من هذا الأسبوع للسماح بالمصادقة الثنائية المستندة إلى السحابة (2FA) عبر حساب Google الخاص بك ، ليس مشفرًا من طرف إلى طرف ، وفقًا لشركة البرمجيات Mysk.
قال Mysk عبر Twitter ، وفقًا لما أوردته Gizmodo في وقت سابق الأربعاء: “قمنا بتحليل حركة مرور الشبكة عندما يقوم التطبيق بمزامنة الأسرار ، وتبين أن حركة المرور ليست مشفرة من طرف إلى طرف”. “كما هو موضح في لقطات الشاشة ، هذا يعني أن Google يمكنها رؤية الأسرار ، على الأرجح حتى أثناء تخزينها على خوادمها. لا يوجد خيار لإضافة عبارة مرور لحماية الأسرار.”
الأسرار هي مصطلح للأمن السيبراني لجزء خاص من المعلومات يستخدم لإلغاء تأمين المعلومات المحمية أو الحساسة.
قامت Google للتو بتحديث تطبيق 2FA Authenticator الخاص بها وأضافت ميزة تشتد الحاجة إليها: القدرة على مزامنة الأسرار عبر الأجهزة.
TL ؛ DR: لا تقم بتشغيله.
يتيح التحديث الجديد للمستخدمين تسجيل الدخول باستخدام حساباتهم في Google ومزامنة أسرار المصادقة الثنائية عبر أجهزتهم التي تعمل بنظام التشغيل iOS و Android … … pic.twitter.com/a8hhelupZR– مسك ???? (mysk_co) 26 أبريل 2023
يوصي باحثو الأمن في Mysk الأشخاص بعدم تشغيل القدرة على مزامنة رموز 2FA عبر الأجهزة والسحابة.
تتيح لك ميزة 2FA التي طال انتظارها الاستمرار في الوصول إلى الرموز الخاصة بك حتى في حالة فقد هاتفك أو سرقته. هذا يعني أن Gmail أو التطبيقات المصرفية أو الخدمات الأخرى التي تسمح لـ 2FA لا يزال بإمكانها الوصول إلى الرموز عبر حساب Google الخاص بك حتى عندما لا يكون جهازك الأصلي متاحًا على الفور. لسوء الحظ ، يفتقر تمكين الميزة إلى نفس مستوى التشفير – على الأقل في الوقت الحالي.
قال متحدث باسم Google لـ CNET عبر البريد الإلكتروني: “يعد التشفير من طرف إلى طرف (E2EE) ميزة قوية توفر حماية إضافية ، ولكن على حساب تمكين المستخدمين من تأمين بياناتهم الخاصة دون استرداد”. “للتأكد من أننا نقدم مجموعة كاملة من الخيارات للمستخدمين ، بدأنا أيضًا في طرح E2EE اختياري في بعض منتجاتنا ، ونخطط لتقديم E2EE لـ Google Authenticator في المستقبل.”
تقول Google إنها قدمت الميزة بهذه الطريقة الأولية للراحة.
يمنحك 2FA طبقة إضافية من الأمان فوق كلمات المرور الخاصة بك. يمكن أن يمنع الرمز الإضافي الذي تم إنشاؤه عبر تطبيق Authenticator الجهات الفاعلة السيئة من تسجيل الدخول إلى حسابك باستخدام كلمة المرور وحدها. لكن بالنسبة إلى شركات التكنولوجيا الكبرى ، تعتبر كلمات المرور في النهاية طريقة ضعيفة وغير فعالة للحفاظ على أمان الحسابات.
لقد اجتمعت كل من Google و Apple و Microsoft معًا في تحالف FIDO ، وهو اختصار لعبارة “الهوية السريعة عبر الإنترنت”. الهدف هو جعل مواقع الويب تتخلى عن كلمات المرور لتسجيل الدخول باستخدام المقاييس الحيوية بدلاً من ذلك. يمكن أن يشمل ذلك مسح بصمات الأصابع أو مسح الوجه. يمكن أن يشمل أيضًا التحقق من الهاتف. سيستغرق تحويل مواقع الويب إلى “مستقبل بدون كلمة مرور” وقتًا ، وحتى ذلك الحين ، ستظل المصادقة الثنائية (2FA) طريقة مهمة للحفاظ على أمان الحسابات.
