6 сентября 2025

eur = 94.25 0.42 (0.44 %)

btc = 110 814.00$ - 510.57 (-0.46 %)

eth = 4 305.26$ -14.25 (-0.33 %)

ton = 3.08$ -0.03 (-1.11 %)

usd = 80.85 0.25 (0.32 %)

eur = 94.25 0.42 (0.44 %)

btc = 110 814.00$ - 510.57 (-0.46 %)

Коды Google Authenticator, синхронизированные с облаком, не зашифрованы

1 минута на чтение
Коды Google Authenticator, синхронизированные с облаком, не зашифрованы

Недавнее обновление Authenticator от Google обеспечило опциональное резервное копирование и синхронизацию паролей двухэтапной аутентификации на устройствах с аккаунтом Google.

До этого одноразовые коды аутентификации генерировались исключительно на устройстве, и его потеря могла привести к невозможности доступа к аккаунтам, которые связаны с Google Authenticator. Новая функция должна была бы решить эту проблему, но она принесла другую.

Google Authenticator добавил облачную синхронизацию кодов
Приложение Google Authenticator, предназначенное для двухэтапной аутентификации, теперь поддерживает облачную синхронизацию через аккаунт Google.

Эксперты по кибербезопасности из Mysk обнаружили, что когда приложение синхронизирует эти коды с «облаком», трафик не шифруется «из конца в конец». В незашифрованном трафике специалисты обнаружили seed-информацию, доступ злоумышленников к которой позволит им генерировать собственные одноразовые коды.

Так как QR-коды, используемые для настройки двухэтапной аутентификации, содержат название аккаунта или сервиса, злоумышленники могут идентифицировать аккаунты, поэтому риск взлома аккаунтов, связанных с Google Authenticator, достаточно высокий.

Если бы были взломаны серверы Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, произошла бы масштабная утечка.

Проблема заключается в том, что для защиты этих одноразовых паролей нет возможности добавить парольную фразу, чтобы сделать их доступными только для пользователя. Поэтому Mysk советует не включать новую функцию.

В Google в ответ на исследование сообщили, что сквозное шифрование в будущем появится:

Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем.
Материал обновлен|

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
На каждом втором компьютере по-прежнему установлена Windows 10

GigaChat Max: коротко о главном

На каждом втором компьютере по-прежнему установлена Windows 10

Полная версия 
Студенты СПбГУ стали абсолютными победителями в ICPC World Finals 2025

GigaChat Max: коротко о главном

Студенты СПбГУ стали абсолютными победителями в ICPC World Finals 2025

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Редакция рекомендует
Карьера
Блоги 411
Газпромбанк
OTP Bank
Т-Банк
X5 Tech
билайн
МТС
Сбер
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы