Google sẽ bổ sung tính năng mã hóa đầu cuối vào Google Authenticator

Mã hóa đầu cuối là khi dữ liệu được mã hóa trên thiết bị bằng mật khẩu mà chỉ chủ sở hữu biết trước khi truyền và lưu trữ trên thiết bị khác. Vì dữ liệu này được mã hóa nên không ai khác có thể truy cập được, ngay cả những người có quyền truy cập vào máy chủ chứa dữ liệu.

Vì Google Authenticator không cung cấp mã hóa đầu cuối, dữ liệu được lưu trữ trên máy chủ của Google ở định dạng mà người dùng trái phép có khả năng truy cập, cho dù thông qua vi phạm của Google hoặc nhân viên vô đạo đức.

"Mỗi mã QR 2FA đều có bảo mật hoặc hạt (seed), được sử dụng để tạo mã một lần. Nếu ai đó biết mật mã, họ có thể tạo cùng một mã một lần và đánh bại các biện pháp bảo vệ 2FA", Mysk tiếp tục thông báo.

"Vì vậy, nếu có tấn công dữ liệu hoặc nếu ai đó có quyền truy cập vào Tài khoản Google của bạn, thì tất cả dữ liệu bảo mật mật 2FA của bạn sẽ bị xâm phạm."

Authy, một ứng dụng xác thực phổ biến khác, đã trở nên phổ biến trong những năm qua vì cung cấp các bản sao lưu đám mây của mã thông báo 2FA được mã hóa đầu cuối.

Khi sử dụng tính năng này trên Authy, người dùng phải nhập mật khẩu mà chỉ họ biết, khiến mọi dữ liệu tải lên sẽ được mã hóa trước khi rời khỏi thiết bị di động của họ.

Hơn nữa, Authy không cho phép sao lưu dữ liệu trừ khi đặt mật khẩu mã hóa đầu cuối, giúp bảo mật tốt hơn.

Tuy nhiên, tính năng này tiềm ẩn rủi ro vì người dùng có thể bị khóa dữ liệu và không thể khôi phục dữ liệu đó sang thiết bị khác nếu mất mật khẩu.

E2EE đến với Google Authenticator

Google đã lắng nghe những lo ngại của người dùng về việc thiếu mã hóa đầu cuối và cho biết họ sẽ thêm tính năng mã hóa này cho phiên bản Google Authenticator trong tương lai.

Christiaan Brand, Giám đốc sản phẩm của Tập đoàn Google, trao đổi với BleepingComputer rằng do khả năng mã hóa đầu cuối khiến người dùng bị khóa dữ liệu của chính họ, nên họ đang triển khai tính năng này một cách cẩn thận trong các sản phẩm của mình.

“Tính bảo mật và an toàn của người dùng là tối quan trọng đối với mọi việc chúng tôi làm tại Google và đó là trách nhiệm mà chúng tôi coi trọng. Bản cập nhật gần đây cho ứng dụng Google Authenticator đã được thực hiện với sứ mệnh đó và chúng tôi đã thực hiện các bước cẩn thận để đảm bảo rằng chúng tôi có thể cung cấp ứng dụng này cho người dùng theo cách bảo vệ tính bảo mật và quyền riêng tư của họ, nhưng cũng hữu ích và thuận tiện,” Brand cho biết BleepingComputer.

"Chúng tôi mã hóa dữ liệu trong quá trình truyền và dữ liệu ở trạng thái lưu trữ trên các sản phẩm của mình, bao gồm cả trong Google Authenticator. Mã hóa đầu cuối (E2EE) là một tính năng cung cấp khả năng bảo vệ bổ sung mạnh mẽ, nhưng phải trả giá bằng việc cho phép người dùng thoát khỏi dữ liệu của chính họ mà không cần khôi phục. Để đảm bảo rằng chúng tôi đang cung cấp đầy đủ các tùy chọn cho người dùng, chúng tôi cũng đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và chúng tôi dự định cung cấp E2EE cho Google Authenticator trong tương lai."

Google cũng đã cung cấp mã hóa E2E trong một số dịch vụ của mình, chẳng hạn như Google Chrome, cho phép bạn đặt mật khẩu để mã hóa dữ liệu được đồng bộ hóa với tài khoản Google.