Google, kullanıcılar yeni özelliği açmamaları konusunda uyarıldıktan sonra Google Authenticator yedeklerine uçtan uca şifreleme ekleme sözü verdi.
Eleştirilerin ardından Google, Google Authenticator bulut yedeklemelerine uçtan uca şifreleme (E2EE) getirmeye karar verdi. Arama devi kısa süre önce kullanıcıların iki faktörlü kimlik doğrulama (2FA) belirteçlerini buluta yedeklemesine olanak tanıyan bir özellik sundu, ancak şifreleme eksikliği bazı yorumcuların insanları bu özelliği kullanmamaları konusunda uyarmasına neden oldu.
Google Authenticator, tek seferlik şifreler (OTP’ler) adı verilen erişim kodları oluşturmak için kullanılan bir kimlik doğrulama uygulamasıdır. Bu OTP’ler yalnızca kısa bir süre için geçerlidir ve talep üzerine oluşturulur. OTP’yi oluşturan cihaza erişiminiz olduğunu kanıtlayarak ek bir kimlik doğrulama biçimi olarak hizmet ederler. Google Authenticator, en iyi bilinen kimlik doğrulayıcılardan biridir. Google tarafından yapılmış olmasına rağmen, Google’ın kendi hizmetleriyle sınırlı değildir, Facebook, Twitter, Instagram ve daha birçok platformda da kullanılabilir.
24 Nisan 2023’te Google, hem iOS hem de Android’de, OTP’leri oluşturmak için kullanılan sırları Google Hesabınıza güvenli bir şekilde yedekleme yeteneği ekleyen bir güncelleme duyurdu. Bu, kullanıcıların cihazlarının kaybolması, çalınması veya hasar görmesi durumunda kullanabilecekleri bir yedek oluşturmasına olanak tanır. Google Authenticator’daki OTP’ler daha önce yalnızca tek bir cihazda depolandığından, bu cihazın kaybı sizi oturum açmak için kullandığınız herhangi bir hizmetten mahrum bıraktı.
Yeni özelliğin kullanıma sunulmasından kısa bir süre sonra, Mysk’in güvenlik araştırmacıları tavsiye yeni özelliği açmaya karşı. Uygulama sırları senkronize ettiğinde oluşan ağ trafiğini analiz ettiler ve trafiğin uçtan uca şifreli olmadığını öğrendiler. Bu, bir veri ihlali durumunda veya birisi Google Hesabınıza erişim elde ederse, tüm OTP sırlarınızın ele geçirileceği ve sanki sizmişsiniz gibi OTP’ler oluşturabilecekleri anlamına gelir.
Birinin Google sunucularından gizli tohumları çalma olasılığı nispeten düşüktür, ancak güvende olmak üzgün olmaktan daha iyidir ve bir sorunun daha az olması her zaman iyidir, kullanıcılar Google’dan sırları korumak için bir parola eklemesini istedi. Bu, onları yalnızca sahiplerinin erişebileceği ekstra bir koruma sağlayacaktır.
Google’ın bu yönteme birincil itirazı, kullanıcıların kendi verilerine tamamen erişiminin engellenmesi riskini artırmasıydı. Bu, cihazınızı ve parolanızı kaybederseniz, hesaplarınıza tüm erişiminizi kaybedeceğiniz anlamına gelir.
Google Grubu Ürün Müdürü Christiaan Brand tweet attı uçtan uca şifrelemenin (E2EE) Google Authenticator için kullanıma sunulacağını, ancak bu özelliği dikkatli bir şekilde kullanıma sunuyorlar.
(2/4) Aktarılan ve kullanılmayan verileri, Google Authenticator da dahil olmak üzere ürünlerimiz genelinde şifreliyoruz. E2EE, ekstra koruma sağlayan güçlü bir özelliktir, ancak bu, kullanıcıların kurtarma olmadan kendi verilerinin kilitlenmesini sağlama pahasınadır.
— Christiaan Markası (@christiaanbrand) 26 Nisan 2023
Google’a göre, uygulamayı çevrimdışı kullanma seçeneği, yedekleme stratejilerini kendileri yönetmeyi tercih edenler için bir alternatif olmaya devam edecek. Ancak yeni Authenticator’ı Google Hesabı senkronizasyonu ile denemek istiyorsanız, uygulamayı güncellemeniz ve talimatları uygulamanız yeterlidir.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE