Google wil e2e-versleuteling toevoegen voor Authenticator back-ups
Google meldt dat het tweetrapsauthenticatiecodes versleutelt tijdens het opslaan en verzenden. Het transportproces naar Authenticator-servers van Google is echter niet eind-tot-eind versleuteld, geeft de zoekgigant toe na berichtgeving van beveiligingsonderzoekers genaamd ‘Mysk’. Toch zegt het dat besluit met een goede reden genomen te hebben. Als het bedrijf de Authenticator-codes versleutelt met eind-tot-eind versleuteling zou de gebruiker toegang tot de 2FA-codes kunnen verliezen.
Hoewel het een extra beveiligingslaag toevoegt, vormt de huidige beveiliging volgens Group Product Manager Christiaan Brand de juiste balans, en mikt het bedrijf met de back-up-mogelijkheid vooral op gebruiksgemak. Dat gemak biedt het sinds deze week door de back-ups niet enkel meer lokaal op te slaan en de optie te bieden voor cloud back-ups. Gebruikers die de back-ups liever zelf regelen en de beveiliging zelf in handen willen hebben, blijven toegang houden tot die optie, stelt Brand.
Wel geeft Brand toe aan de vraag naar eind-tot-eind versleuteling. Op termijn moeten de back-ups voorzien worden van de genoemde versleuteling. Wanneer dit gebeurt, en of het standaard wordt ingeschakeld, wordt niet benoemd. De Google-producten die momenteel al gebruik maken van de versleutelingsmethode, bieden dit aan als optionele mogelijkheid.
Back-ups van Authenticator-codes
Met e2e-encryptie zou het voor kwaadwillenden niet meer mogelijk zijn om de data die verstuurd wordt door Authenticator ‘in te zien’. Nu kunnen de versleutelde bestanden nog wel onderschept worden. Die bestanden omvatten de tweetrapsauthenticatie-codes die gebruikers sinds deze week in Google’s cloud kunnen opslaan. Verliezen ze hun telefoon, dan hoeven ze enkel de back-up van Authenticator te herstellen op een nieuw toestel om weer 2FA-codes te genereren.
Google Authenticator is één van de laatste 2FA-apps om die back-ups toe te voegen. Eerder was het al mogelijk om zulke reservekopieën te maken met Microsoft Authenticator en Authy.