#TinTứcSựKiện #GoogleAuthenticator #XácThựcDựaTrênĐámMây #BảoMậtMạng
Theo bài viết mới đăng trên CNET, ứng dụng Google Authenticator vừa cập nhật vào đầu tuần này để cho phép xác thực hai yếu tố dựa trên đám mây thông qua tài khoản Google của bạn, tuy nhiên không được mã hóa đầu cuối. Các nhà nghiên cứu bảo mật tại Mysk cho biết lưu lượng mạng không được mã hóa đầu cuối, điều này có nghĩa là Google có thể nhìn thấy các bí mật của bạn, ngay cả khi chúng được lưu trữ trên máy chủ của họ. Vì vậy, Mysk khuyến nghị mọi người không bật khả năng đồng bộ hóa mã 2FA trên các thiết bị và đám mây.
Tính năng 2FA là một lớp bảo mật bên trên mật khẩu của bạn, giúp bạn vẫn có thể truy cập được mã của mình ngay cả khi điện thoại bị mất hoặc bị đánh cắp. Tuy nhiên, đối với Big Tech, mật khẩu cuối cùng không hiệu quả để giữ an toàn cho tài khoản. Google, Apple và Microsoft đã liên kết với nhau trong Liên minh FIDO nhằm cho các trang web từ bỏ mật khẩu đăng nhập sinh trắc học.
Việc chuyển các trang web sang “tương lai không mật khẩu” sẽ mất thời gian và cho đến lúc đó, 2FA vẫn là một cách quan trọng để giữ an toàn cho tài khoản của bạn. Tuy nhiên, việc bật tính năng 2FA đồng bộ hóa mã trên đám mây này hiện không được khuyến khích. Google cũng cho biết họ đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và dự kiến sẽ cung cấp E2EE cho Google Authenticator trong tương lai.
Các Ứng dụng Google Authenticator, đã được cập nhật vào đầu tuần này để cho phép xác thực hai yếu tố dựa trên đám mây (2FA) thông qua tài khoản Google của bạn, không được mã hóa đầu cuốitheo công ty phần mềm Mysk.
“Chúng tôi đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và hóa ra lưu lượng không được mã hóa đầu cuối”, Mysk cho biết qua Twitter, theo báo cáo của Gizmodo vào thứ Tư trước đó. “Như được hiển thị trong ảnh chụp màn hình, điều này có nghĩa là Google có thể nhìn thấy các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn nào để thêm cụm mật khẩu để bảo vệ bí mật.”
bí mật là biệt ngữ an ninh mạng cho một phần thông tin riêng tư được sử dụng để mở khóa thông tin nhạy cảm hoặc được bảo vệ.
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ bí mật giữa các thiết bị.
TL;DR: Đừng bật nó lên.
Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR— Mysk 🇨🇦🇩🇪 (@mysk_co) Ngày 26 tháng 4 năm 2023
Các nhà nghiên cứu bảo mật tại Mysk khuyến nghị mọi người không bật khả năng đồng bộ hóa mã 2FA trên các thiết bị và đám mây.
Tính năng 2FA được chờ đợi từ lâu cho phép bạn vẫn truy cập được mã của mình ngay cả khi điện thoại của bạn bị mất hoặc bị đánh cắp. Điều này có nghĩa là Gmail, ứng dụng ngân hàng hoặc rất nhiều dịch vụ khác cho phép 2FA vẫn có thể truy cập mã qua tài khoản Google của bạn ngay cả khi thiết bị ban đầu của bạn không khả dụng ngay lập tức. Thật không may, việc bật tính năng này thiếu cùng một mức mã hóa — ít nhất là vào lúc này.
“Mã hóa đầu cuối (E2EE) là một tính năng mạnh mẽ cung cấp khả năng bảo vệ bổ sung, nhưng với cái giá phải trả là cho phép người dùng bị khóa dữ liệu của chính họ mà không cần khôi phục”, người phát ngôn của Google nói với CNET qua email. “Để đảm bảo rằng chúng tôi đang cung cấp đầy đủ các tùy chọn cho người dùng, chúng tôi cũng đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và chúng tôi dự định cung cấp E2EE cho Google Authenticator trong tương lai.”
Google cho biết họ đã cung cấp tính năng này theo cách ban đầu để thuận tiện.
2FA cung cấp cho bạn thêm một lớp bảo mật bên trên mật khẩu của bạn. Mã bổ sung được tạo thông qua ứng dụng Authenticator có thể ngăn những kẻ xấu đăng nhập vào tài khoản của bạn chỉ bằng mật khẩu của bạn. Tuy nhiên, đối với Big Tech, mật khẩu cuối cùng là một cách dễ bị tổn thương và không hiệu quả để giữ an toàn cho tài khoản.
Google, Apple và Microsoft có liên kết với nhau trong Liên minh FIDO, viết tắt của “nhận dạng nhanh trực tuyến.” Thay vào đó, mục tiêu là để các trang web từ bỏ mật khẩu đăng nhập sinh trắc học. Điều này có thể bao gồm quét vân tay hoặc quét khuôn mặt. Nó cũng có thể bao gồm xác minh điện thoại. Việc chuyển các trang web sang “tương lai không mật khẩu” sẽ mất thời gian và cho đến lúc đó, 2FA sẽ vẫn là một cách quan trọng để giữ an toàn cho tài khoản .
