Google Authenticator सिंक एन्क्रिप्शन का उपयोग नहीं करता
(defcon.social)- Google Authenticator के cloud sync फीचर का विश्लेषण करने पर पाया गया कि यह end-to-end encrypted नहीं है.
- सिंक किए गए सभी 2FA कोड Google सर्वर पर बिना एन्क्रिप्शन के स्टोर होते हैं, जिससे वे सुरक्षा जोखिम के संपर्क में आ सकते हैं.
- जैसे ही Google अकाउंट हैक होता है, सभी 2FA कोड भी साथ में लीक हो सकते हैं.
- Google सभी 2FA कोड देख सकता है.
- फिलहाल cloud sync फीचर का इस्तेमाल न करने की सलाह दी जाती है.
- इसी तरह की सेवा Authy, 2FA कोड को सर्वर पर भेजने से पहले एन्क्रिप्ट करती है.
4 टिप्पणियां
लगता है बस Authy ही इस्तेमाल करना पड़ेगा... Google ने फिर वही Google वाला काम किया।
मैंने सोचा था कि Google भी sync देता है, तो शायद उस पर शिफ्ट कर लूं, लेकिन लगता है कि बस Authy ही इस्तेमाल करता रहूंगा..
लगता है फिर बस Authy पर ही बने रहना चाहिए :(
अगर 2FA कोड्स का बैकअप किया जाए तो मुझे लगा था कि end-to-end encryption अनिवार्य होगी...
ऐसा है तो इसे अभी इस्तेमाल करना मुश्किल लगेगा।
सामग्री में "Google सभी 2FA कोड्स देख सकता है" वाली बात पर, यह Google जानबूझकर ऐसा करता है ऐसा कम और...
ज़्यादा यह है कि Google में data leak की घटना हो जाए या कानूनी कारणों से डेटा बाहर जा सकता है।