Google lunedì ha presentato un importante aggiornamento alla sua app Google Authenticator per Android e iOS, usata da moltissimi utenti per l’autenticazione a due fattori (2FA) mediante le cosiddette One-Time Password (OTP).
La novità è un’opzione di sincronizzazione dell’account che consente agli utenti di eseguire il backup delle proprie password monouso (TOTP, ossia “time-based one-time passwords”) nel cloud.
Sincronizzazione tra dispositivi, maggiore comodità
“Questo cambiamento significa che gli utenti sono protetti meglio da un eventuale blocco di accesso e che i servizi possono fare affidamento sul fatto che gli utenti mantengano l’accesso, aumentando sia la comodità che la sicurezza“, ha affermato Google.
L’aggiornamento, che porta anche una nuova icona all’app di autenticazione a due fattori (2FA), la allinea finalmente con il portachiavi iCloud di Apple e risolve un problema di lunga data secondo cui Authenticator è legato al dispositivo su cui è installato, rendendolo un problema quando si passava da un telefono all’altro.
Ancora peggio, come afferma Google, gli utenti che perdevano completamente l’accesso ai propri dispositivi “avevano perso la possibilità di accedere a qualsiasi servizio su cui avevano impostato 2FA utilizzando Authenticator“.
La funzione di sincronizzazione cloud è facoltativa, il che significa che gli utenti possono scegliere di utilizzare l’app Authenticator senza collegarla a un account Google.
Sempre attenzione ai backup su cloud!
Vale sempre la pena tenere a mente infatti le insidie associate ai backup su cloud, in quanto un attore malintenzionato con accesso a un account Google potrebbe sfruttarlo per entrare in altri servizi online.
Lo sviluppo di Authenticator arriva pochi giorni dopo che la società svizzera focalizzata sulla privacy Proton, che ha superato i 100 milioni di account attivi la scorsa settimana, ha presentato una soluzione di gestione delle password crittografata end-to-end chiamata Proton Pass.
Lo strumento open source, che utilizza una versione rafforzata del protocollo Secure Remote Password (SRP) per l’autenticazione, include anche l’integrazione 2FA.
Ultimi aggiornamenti da Google
Google ha affermato che prevede di offrire il supporto della crittografia end-to-end (E2EE) per la sua funzione di sincronizzazione cloud dopo che i ricercatori di sicurezza di Mysk e Sophos hanno evidenziato potenziali problemi di sicurezza con l’abilitazione dell’opzione per sincronizzare i token 2FA tra i dispositivi.
La società ha specificato che i dati sono crittografati in transito e inattivi, inclusa l’app Authenticator, aggiungendo “E2EE è una potente funzionalità che fornisce protezioni extra, ma al costo di consentire agli utenti di essere nuovamente bloccati dai propri dati senza ripristino“.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza in materia di cyber security: