Google Authenticator の同期は暗号化を使用していません

kuroneko · 2023-04-26T16:33:12+09:00

Google Authenticator のクラウド同期機能を分析した結果、エンドツーエンド暗号化されていないことが判明。同期されたすべての二要素認証コードは、Google のサーバーに暗号化なしで保存され、セキュリティリスクにさらされる可能性がある。 Google アカウントがハッキングされた瞬間、すべての二要素認証コードも同時に流出する。 Google はすべての二要素認証コードを確認できる。当面はクラウド同期機能を使用しないことを推奨。類似サービスの Authy は、二要素認証コードをサーバーへ送信する前に暗号化を行う。

(defcon.social)

8 ポイント投稿者 kuroneko 2023-04-26 | 4件のコメント | WhatsAppで共有

Google Authenticator のクラウド同期機能を分析した結果、エンドツーエンド暗号化されていないことが判明。
同期されたすべての二要素認証コードは、Google のサーバーに暗号化なしで保存され、セキュリティリスクにさらされる可能性がある。
- Google アカウントがハッキングされた瞬間、すべての二要素認証コードも同時に流出する。
- Google はすべての二要素認証コードを確認できる。
当面はクラウド同期機能を使用しないことを推奨。
類似サービスの Authy は、二要素認証コードをサーバーへ送信する前に暗号化を行う。

4件のコメント

woosuk 2023-04-26

やはりAuthyを使うしかなさそうですね……GoogleはやっぱりGoogleでした

minkang 2023-04-26

Googleも同期をすると聞いて移行しようかと思いましたが、やはりAuthyを使い続けるしかなさそうですね..

xguru 2023-04-26

やっぱりそのまま Authy にしておくべきだな T_T

kuroneko 2023-04-26

HNスレッド

2段階認証コードをバックアップするなら、エンドツーエンド暗号化は必須だと思っていましたが……
これではまだ使うのは難しそうですね。

本文中の「Googleがすべての2段階認証コードを確認できる」という点については、Googleがそうするというよりは……
Googleでデータ漏えい事故が発生したり、法的な問題によってデータが流出する可能性がある、という程度です.

Google Authenticator の同期は暗号化を使用していません

関連記事

4件のコメント