A Google publicou uma atualização para o seu aplicativo Authenticator que mantém um “código único” no armazenamento em nuvem. Esta atualização faz parte do esforço da empresa para ajudar os clientes a manter o acesso aos seus sistemas de autenticação de dois fatores (2FA). Os usuários que perderam o dispositivo que continha o autenticador ainda podem acessar a autenticação de dois fatores usando este código. Diz-se que o armazenamento de códigos únicos na Conta do Google de um usuário, conforme recomendado pelo Google, melhora a conveniência e a segurança e protege os usuários de serem bloqueados em suas contas. No entanto, essa abordagem está a fazer com que outras pessoas se preocupem com a sua segurança.
Em uma postagem feita no fórum r/Cryptocurrency, o usuário u/pojut apontou que manter códigos únicos no armazenamento em nuvem conectado à conta do Google do usuário pode torná-los mais suscetíveis a ataques de cibercriminosos. Se um hacker obtivesse a senha do usuário do Google, ele seria capaz de obter acesso completo a todos os aplicativos vinculados ao autenticador do usuário. Um telefone desatualizado que é utilizado apenas para abrigar o aplicativo autenticador foi recomendado pelo usuário u/pojut como uma solução para esse problema.
Os desenvolvedores do software de segurança cibernética chamado Mysk também foram ao Twitter para fornecer um aviso sobre os problemas extras que acompanham o uso da abordagem baseada em armazenamento em nuvem do Google para autenticação de dois fatores (2FA). Os usuários que usam o Google Authenticator como um segundo fator de autenticação para fazer login nas suas contas de Exchanges de criptomoedas e outros serviços vinculados a finanças podem achar que isso é um motivo substancial de preocupação. O sistema de autenticação de dois fatores (2FA) é vulnerável a uma variedade de ataques, sendo o mais prevalente conhecido como “troca de SIM”. Esse tipo de roubo de identidade permite que vigaristas assumam o controle de um número de telefone enganando uma operadora de telecomunicações para associar o número ao seu próprio cartão SIM.
Um exemplo recente disso pode ser visto em uma ação movida recentemente contra a exchange de criptomoedas Coinbase, situada nos Estados Unidos. No caso, um cliente alegou que havia perdido “90% das economias de sua vida” por ter sido vítima de tal agressão. Notavelmente, a própria Coinbase recomenda o uso de aplicativos autenticadores para autenticação de dois fatores, em vez de enviar um código de verificação por mensagem de texto. A empresa chama a autenticação de dois fatores SMS de o tipo de autenticação “menos seguro”.
Uma atualização para o Google Authenticator pode beneficiar os usuários que perderam seu aplicativo autenticador, mas fez com que alguns usuários se preocupassem com o nível de segurança do serviço. O uso de armazenamento em nuvem para armazenar códigos únicos deixa os usuários vulneráveis ??a ataques de criminosos cibernéticos, que podem descobrir a senha do Google do usuário e, como resultado, obter acesso completo a todos os aplicativos vinculados ao autenticador usados ??pelo do utilizador. Os usuários que usam o Google Authenticator para autenticação de dois fatores devem tomar precauções para se proteger, como instalar o aplicativo de autenticação em um dispositivo diferente e evitar a autenticação de dois fatores por SMS.
