最近導入した update スマートフォンの変更時にユーザーがアカウントからブロックされるのを防ぐために、Google アカウントでの使い捨てコードの同期。
ただし、ソフトウェア会社 Mysk は、安全なパスコードの管理をアプリに頼らないようユーザーに警告しています。 しかし、なぜ? 次の行でそれを見てみましょう。
Google 認証システムには暗号化機能がありません
Mysk は、Authenticator アプリによって生成されたネットワーク トラフィックが エンドツーエンドで暗号化されていません、使い捨てコードが攻撃者によって侵害されるリスクが高まります。 この更新は実用的なニーズに対応しているように見えますが、Authenticator の使用に伴うリスクが利点を上回る可能性があります。
同社は、私が 2FA QR コード アカウントやサービス名などの個人情報が含まれる場合があります。 Google がこの情報を使用してパーソナライズされた広告を充実させるという証拠はありませんが、 プライバシーリスク ユーザーの割合が高くなります。 データ侵害が発生した場合、お客様の個人情報が第三者に公開される可能性があります。
Google は、プロダクト マネージャーの Christiaan Brand からのツイートを通じて、ユーザーの懸念に応えました。 Brand 氏は、Authenticator のコードは暗号化されていませんが、将来的にセキュリティ保護を提供する計画があると説明しました。
これが彼の言葉です: "現時点では、現在の製品がほとんどのユーザーにとって適切なバランスを取り、オフラインでの使用に比べて大きな利点を提供すると考えています。 また、E2E のような強力な暗号化を含めると、ユーザーがアカウントからロックアウトされる可能性が再浮上する可能性があります。"
Brand はまた、Google Authenticator アカウントの同期は完全に任意であることを指摘しました。 ユーザーは、自分の情報がどのようにバックアップされるかを完全に制御でき、より安全だと感じた場合はアプリをオフライン モードで使用することを選択できます。
