Google, zamana dayalı tek seferlik kimlik doğrulama kodları sağlamak için mobil kimlik doğrulayıcı uygulaması olan Google Authenticator’ı güncelledi ve artık kullanıcıların kodlarını Google hesaplarıyla senkronize etmelerine (etkin bir şekilde: yedeklemelerine) izin veriyor.
Uzun zamandır beklenen bir seçenek
Bu güncellemeden önce, üzerinde Google Authenticator bulunan bir kişinin mobil cihazını kaybetmesi, son kullanıcılar ve kurumsal BT departmanları için birçok sorun yaratıyordu.
Grup Ürünlerinden Christiaan Brand, “Authenticator’daki kodlar bir zamanlar yalnızca tek bir cihazda depolandığından, bu cihazın kaybı, kullanıcıların Authenticator kullanarak 2FA kurdukları herhangi bir hizmette oturum açma yeteneklerini kaybetmeleri anlamına geliyordu” dedi. Google’da yönetici.
“Bu güncellemeyle, bu soruna bir çözüm getiriyoruz ve tek seferlik kodları kullanıcıların Google Hesabında güvenli bir şekilde saklayarak daha dayanıklı hale getiriyoruz. Bu değişiklik, kullanıcıların kilitlenmeye karşı daha iyi korunduğu ve hizmetlerin kullanıcıların erişimi elinde tutmasına güvenerek hem kolaylık hem de güvenliği artırabileceği anlamına geliyor” diye ekledi Brand.
Google Authenticator kodlarınızı nasıl yedekleyebilirsiniz?
Uygulamanın kullanıcıları önce Android’de v6.0’a ve iOS’ta 4.0’a güncellemelidir. Ardından, Kimlik Doğrulayıcılarının kodları otomatik olarak yedekleyebilmesi için Google hesaplarında oturum açmaları istenecektir.
Daha sonra, Google Authenticator uygulaması yüklendikten ve kullanıcıların Google hesabına bağlandıktan sonra yeni bir cihazla sorunsuz bir şekilde senkronize edilebilirler.
Benzer veya aynı özellik, diğer popüler kimlik doğrulama uygulamalarında zaten mevcuttur.
Örneğin, Authy, kullanıcıların 2FA kodlarını bulutta şifreler ve depolar ve Raivo OTP, kullanıcıların tek seferlik şifrelerini şifrelenmiş ZIP arşivlerine aktarmalarına ve bunları Apple iCloud’larıyla senkronize etmelerine (şifrelemeli) olanak tanır. Microsoft Authenticator ayrıca şifreli yedekleme/eşitleme seçeneğine de sahiptir.
Güvenlik ve gizlilikle ilgili gözlemler
Yeni bulut senkronizasyon özelliği isteğe bağlıdır: Google Authenticator’ı Google hesabınızda oturum açmadan kullanmaya devam edebilirsiniz ve 2FA kodlarınız yalnızca cihazınızda kalacaktır.
Yine de bunu yaparsanız ve bir bilgisayar korsanı Google hesabınıza erişim kazanırsa, kendi başına bir cihazı ona bağlayabilir ve bu yedeklenmiş kodları onunla senkronize edebilir. Her hizmet için 2FA kodlarını ayırt etmek için kullanıldıklarından, bu hesapların kullanıcı adlarını da bilirler. O zaman sadece kimlik avı yapmaları veya şifreleri tahmin etmeleri veya önceki bir ihlalde ele geçirilmiş ve değiştirilmemişlerse şifreleri çevrimiçi olarak satın almaları gerekir.
Mysk ile güvenlik araştırmacıları, yedeklenen kodların uçtan uca (E2E) şifreli olmadığına, yani Google’ın bunlara erişebileceğine de dikkat çekti. Teorik olarak, kötü niyetli kişiler bir hedefin hesabına erişebilir ve kodları başka bir cihazla senkronize edebilir. Sonuçta tüm saldırganlar dışarıdan değil.
Ayrıca, Google’dan hesabınızla ilişkili verileri dışa aktarmasını istediğinizde, indirme işlemine 2FA sırlarının dahil edilmediğini de belirtmişlerdir.
Google’ın yedeklenen kodları nasıl ele aldığını ve bir “eşleştirmeyi kaldırma” seçeneği olup olmadığını (bunu bulamadık) bilmek güzel olurdu. Mevcut durumda, güvenlik ve mahremiyet açısından bu, kötü bir şekilde uygulanmış gibi görünen kullanışlı bir seçenektir.
Bu soruları yanıtlamak için Google’a ulaştık, ancak henüz yanıt alamadık. RSA Konferansı devam ederken, bu tamamen beklenmedik bir durum değil.