O Google levará criptografia de ponta a ponta para os backups em nuvem do Google Authenticator. A decisão está sendo tomada depois que os pesquisadores alertaram os usuários contra a sincronização de códigos 2FA com suas contas do Google.
Google Authenticator
Esta semana, o Google Authenticator finalmente recebeu o tão esperado recurso de poder fazer backup de tokens 2FA na nuvem. Esse novo recurso permite que os usuários sincronizem seus tokens 2FA do Google Authenticator com sua conta do Google, fornecendo um backup caso seu dispositivo móvel seja perdido ou danificado.
Ele também permite que os usuários acessem seus tokens 2FA em vários dispositivos, desde que todos estejam conectados à mesma conta do Google. No entanto, um problema iminente foi identificado.
Sem criptografia de ponta a ponta
Logo após o anúncio da sincronização em nuvem do Google Authenticator, os pesquisadores de segurança da Mysk descobriram que os dados não estavam sendo criptografados de ponta a ponta durante o upload para os servidores do Google.
(…) isso significa que o Google pode ver os segredos, provavelmente mesmo enquanto eles estão armazenados em seus servidores. Não há opção para adicionar uma frase secreta para proteger os segredos, para torná-los acessíveis apenas pelo usuário.
A criptografia de ponta a ponta é quando os dados são criptografados em um dispositivo usando uma senha conhecida apenas pelo proprietário antes de serem transmitidos e armazenados em outro dispositivo. Como esses dados são criptografados, eles não podem mais ser acessados por mais ninguém, mesmo aqueles com acesso ao servidor em que os dados estão armazenados.
Como o Google Authenticator não oferece criptografia de ponta a ponta, os dados são armazenados no servidor do Google em um formato que usuários não autorizados podem acessar, seja por meio de uma violação do Google ou de um funcionário sem escrúpulos, por exemplo.
O Authy
O Authy, outro aplicativo autenticador popular, cresceu em popularidade ao longo dos anos, pois oferece backups em nuvem de tokens 2FA criptografados de ponta a ponta. Ao usar esse recurso no Authy, os usuários devem inserir uma senha que só eles saibam, fazendo com que todos os dados carregados sejam criptografados antes de saírem do dispositivo móvel.
Além disso, o Authy não permite o backup dos dados, a menos que uma senha de criptografia de ponta a ponta seja definida, proporcionando maior segurança. No entanto, esse recurso representa um risco, pois os usuários podem ter seus dados bloqueados e não conseguir restaurá-los em outro dispositivo se perderem a senha.
Criptografia de ponta a ponta chegando ao Google Authenticator
O gerente de produtos do Google Group, Christiaan Brand, disse ao BleepingComputer que, devido à possibilidade de criptografia de ponta a ponta, fazendo com que os usuários fiquem bloqueados de seus próprios dados, eles estão lançando esse recurso com cuidado em seus produtos.
A segurança de nossos usuários é fundamental para tudo o que fazemos no Google e é uma responsabilidade que levamos a sério. A atualização recente do aplicativo Google Authenticator foi feita com essa missão em mente e tomamos medidas cuidadosas para garantir que pudéssemos oferecê-lo aos usuários de uma forma que protegesse sua segurança e privacidade, mas também fosse útil e conveniente.
Criptografamos dados em trânsito e em repouso em nossos produtos, inclusive no Google Authenticator. Criptografia de ponta a ponta (E2EE) é um recurso poderoso que oferece proteção extra, mas ao custo de permitir que os usuários fiquem bloqueados seus próprios dados sem recuperação. Para garantir que estamos oferecendo um conjunto completo de opções para os usuários, também começamos a implementar o E2EE opcional em alguns de nossos produtos e planejamos oferecer o E2EE para o Google Authenticator no futuro.
O Google também já fornece criptografia E2E em alguns de seus serviços, como o Google Chrome, que permite definir uma senha para criptografar dados sincronizados com contas do Google.