Oživeno 27. dubna | Analýzou síťového provozu se zjistilo, že Authenticator při synchronizaci posílá data nezašifrovanou cestou a Google či teoreticky kdokoliv na nechráněné Wi-Fi může zjistit tzv. seed. To je unikátní textový řetězec, z něhož se pak generují jednorázové kódy. Je to, jako byste někde zveřejnili onen QR kód, který jste využili při nastavení 2FA.
Kdo si chce opravdu chránit soukromí, neměl by synchronizaci zapínat. Google se už pro Bleeping Computer vyjádřil, že volitelné end-to-end šifrování do Authenticatoru přidá časem. Takové řešení však bude méně pohodlné, uživatel si bude muset pamatovat další šifrovací klíč. A když jej ztratí, k datům Authenticatoru už se nedostane.
Původní článek z 25. dubna | Pokud k přihlášení ke službám od Googlu používáte dvoufázové ověření přes aplikaci Google Authenticator, už brzy se dočkáte velké změny. Zatímco dříve byly kódy vztaženy ke konkrétnímu telefonu, nově budou zahrnovat všechna zařízení pod společným Gmail účtem A těžit z toho budou ti, kteří využívají více zařízení, nebo ti, kteří chtějí získat kontrolu nad přihlášením k účtu přiřazeného k telefonu, který se ztratil nebo byl odcizen.
Právě krádež nebo ztráta telefonu byla hlavním hybným motorem ke změně. Pokud jste totiž telefon s aplikací Google Authenticator ztratili nebo byl odcizen, jednorázové kódy byly nadále odesílány na jedno konkrétní zařízení. Uživatelé tím pádem ztratili možnost přihlášení k jakékoliv službě od Googlu. Tedy, pokud si dvoufaktorové ověření nedeaktivovali, a poté opět nezapnuli. I to však bylo v mnoha případech bez fyzické přítomnosti telefonu dosti problematické.
Úvodní obrazovka při nastavování dvoufaktorového ověření u Gmail účtu
S novou aktualizací aplikace se jednorázové kódy ukládají na cloudu, takže k nim má přístup jakékoliv zařízení, která má v sobě stejný Gmail účet a současně nainstalovanou aplikaci Google Authenticator. Pro zapnutí synchronizace stačí jen aplikaci otevřít, zvolit Nastavení a povolit zálohy na Google účet. V případě změny telefonu tak stačí v aplikaci jen stisknout položku Obnovit kódy, čímž dojde k synchronizaci s cloudem, a současně k rychlému zprovoznění dvoufaktorového ověření.
Zdroj: Googleblog