Google นำ E2EE มาเสริม Google Authenticator หลังผู้เชี่ยวชาญติงเรื่องความปลอดภัย

แบไต๋

27 เมษายน 2566 ( 14:43 )

116

Google นำระบบการเข้ารหัสแบบ 2 ฝั่ง (end-to-end encryption – E2EE) เข้ามาใช้ในการสำรองข้อมูล Google Authenticator ไว้บนคลาวด์ของง Google

ก่อนหน้านี้ Google Authenticator ได้เพิ่มฟีเจอร์สำรองโทเคนเก็บรหัสที่ใช้ยืนยันตัวตนแบบ 2 ขั้น (2FA) ไว้บนคลาวด์ จนผู้เชี่ยวชาญมาเตือนผู้ใช้งานว่าอย่าเปิดใช้งานฟีเจอร์นี้ เพราะอาจก่อให้เกิดความเสี่ยงต่อความปลอดภัย

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

ผู้เชี่ยวชาญด้านไซเบอร์จาก Mysk พบว่าข้อมูลโทเคน 2FA ที่อัปโหลดขึ้นไปในคลาวด์ของ Google ไม่ได้รับการคุ้มครองด้วย E2EE โดยที่ไม่มีตัวเลือกปกปิดข้อมูลด้วย จึงเตือนว่า Google จะสามารถเห็นความลับของผู้ใช้งานได้ พร้อมแสดงตัวอย่างให้ดูบนทวีตจากบัญชีทางการ

สำหรับ E2EE เป็นระบบการเข้ารหัสหรือปกปิดข้อมูลตั้งแต่อุปกรณ์ของต้นทาง (ผู้ส่งข้อมูล) ก่อนจะส่งข้อมูลไปยังปลายทาง (ผู้รับข้อมูล)

ผู้ที่จะเห็นข้อมูลจะมีเฉพาะเจ้าของข้อมูลเท่านั้น แม้แต่ผู้ดูแลระบบ หรือเจ้าของโครงสร้างพื้นฐานและเครือข่ายจะไม่มีสิทธิเห็นข้อมูลที่ส่งระหว่างกัน

ส่วน 2FA คือระบบการยืนยันตัวตนแบบ 2 ชั้น ใช้สำหรับการล็อกอินเข้าสู่บัญชีดิจิทัลที่จะเพิ่มขั้นตอนการยืนยันตัวตนมาอีก 1 ชั้น โดยอาจเป็นในรูปแบบของรหัสที่ส่งใน SMS คลิปเสียงโทรศัพท์ หรืออีเมล

ซึ่ง Google Authenticator เป็นซอฟต์แวร์ที่เข้ามาช่วยอำนวยความสะดวกในการสร้างรหัสที่ใช้ใน 2FA เพิ่มเติมอีกช่องทางหนึ่ง

การที่ข้อมูลที่ซิงก์ขึ้นไปบนเซิร์ฟเวอร์ของ Google ผ่าน Google Authenticator ไม่มีระบบ E2EE มาป้องกัน จะทำให้ไม่ว่าใครก็ตามที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Google ก็จะสามารถเข้าไปดูข้อมูลได้

นั่นแปลว่าหากมีผู้ไม่หวังดี (แฮกเกอร์หรือแม้แต่พนักงานของ Google เอง!) เข้าไปดูข้อมูลบนคลาวด์ของ Google ก็จะสามารถนำข้อมูลรหัสผ่านทั้งหมดของผู้ใช้งาน Google ไปใช้ทะลวง 2FA ได้โดยง่าย

คำตอบของ Google

Google ให้คำมั่นว่าจะเพิ่ม E2EE เข้าไปในเวอร์ชันในอนาคตของ Google Authenticator โดยชี้ว่าที่เดิมไม่ได้ใส่ไว้เพราะกลัวว่าอาจไปเพิ่มความยุ่งยากให้กับผู้ใช้งาน

คริสเตียน แบรนด์ (Christiaan Brand) ผู้จำกัดการผลิตภัณฑ์ของ Google Group ระบุกับเว็บไซต์ BleepingComputer ว่า E2EE อาจทำให้ผู้ใช้งานที่จำรหัสผ่านไม่ได้ถูกล็อกจากข้อมูลของตัวเอง แต่ยืนยันว่าบริษัทคำนึงถึงความปลอดภัยของข้อมูลที่ต้องมาพร้อมกับความสะดวกของการใช้งาน

ที่มา bleepingcomputer

Tag

#ข่าววงการไอที

Google นำ E2EE มาเสริม Google Authenticator หลังผู้เชี่ยวชาญติงเรื่องความปลอดภัย

คำตอบของ Google

Tag

ยอดนิยมในตอนนี้

แท็กยอดนิยม

ข่าวที่เกี่ยวข้อง

11 เหตุผลที่ Google เสนอใช้ ChromeOS Flex แทน Windows 10 – ตกลงใช้ในองค์กรฟรีจริงหรือไม่ รองรับเครื่องเก่าได้แค่ไหน?

พีซีที่ใช้ซีพียูที่ไม่รองรับ POPCNT จะไม่ได้ไปต่อ Windows 11 24H2

AWS เตรียมเปิด Region Server ในประเทศไทย พร้อมประกาศแผนอื่น ๆ ในปี 2024 !

เปิดตัว NVIDIA GeForce RTX 40 SUPER พร้อมราคาไทยอย่างเป็นทางการ

ตามมาติด ๆ Copilot บน iOS ให้ผู้ใช้ iPhone iPad ได้ดาวน์โหลดแล้ว

Samsung Internet โปรแกรม Browser จากซัมซุงมาบน Windows PC แล้ว

Microsoft จะเพิ่มปุ่มรีเฟรชสำหรับ Wi-Fi ให้ Windows 11

ระบบแปลโค้ดแอป x86 มาทำงานบน Windows on ARM อย่างไร ?

งานวิจัยชี้ การเล่นเกมไม่ได้นำไปสู่พฤติกรรมด้านความรุนแรงในเยาวชน

beartai รับรางวัลอินฟลูเอนเซอร์ยอดเยี่ยม HOFS AWARDS 2023 จากประเทศสิงคโปร์

ซัพพลายเออร์ Apple จากญี่ปุ่น เปิดโรงงานใหม่ในจังหวัดลำพูน เพิ่มการผลิต MLCC

ใครอัปรูปขึ้นอัลบั้มเยอะมีร้อง LINE ชี้ชัด อัปรูปได้สูงสุด 1000 ภาพ/อัลบั้ม