O Google Authenticator recebeu suporte a sincronização em nuvem e agora Christiaan Brand, gerente de produto do Google, confirmou que a Gigante de Buscas tem planos de oferecer suporte criptografia de ponta-a-ponta (E2EE) para o aplicativo no futuro. A resposta foi dada após o executivo ser questionado no Twitter sobre o recurso.

(2/4) We encrypt data in transit, and at rest, across our products, including in Google Authenticator. E2EE is a powerful feature that provides extra protections, but at the cost of enabling users to get locked out of their own data without recovery.

— Christiaan Brand (@christiaanbrand) April 26, 2023

Além da resposta, Brand revelou porque a criptografia E2EE não foi lançada com a sincronização com a conta do Google.

Segundo ele, os dados do Authenticator são criptografados durante o tráfego entre todos os serviços do Google, mas não foi adicionado ainda porque alguns usuários poderiam perder as suas chaves de autenticação caso o aplicativo ficasse bloqueado permanentemente.

Para garantir que estamos oferecendo aos usuários um conjunto completo de opções, começamos a implementar a criptografia E2E opcional em alguns de nossos produtos e temos planos de oferecer E2EE para o Google Authenticator no futuro.

(4/4) Right now, we believe that our current product strikes the right balance for most users and provides significant benefits over offline use. However, the option to use the app offline will remain an alternative for those who prefer to manage their backup strategy themselves.

— Christiaan Brand (@christiaanbrand) April 26, 2023

Isto significa que o Google está trabalhando em formas de manter um equilíbrio entre segurança e facilidade de acesso as chaves de autenticação armazenadas no Authenticator, pois a opção de usar o aplicativo offline deve continuar disponível para aqueles que preferem este método.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

Por outro lado, pesquisadores de segurança Mysk não recomendam que os usuários ativem a sincronização do Google Authenticator.

Se houver uma violação de dados ou se alguém obtiver acesso à sua Conta do Google, todos os seus segredos 2FA serão comprometidos. Além disso, os códigos QR 2FA geralmente contêm outras informações, como nome da conta e o nome do serviço (por exemplo, Twitter, Amazon, etc.). Como o Google pode ver todos esses dados, ele sabe quais serviços on-line você usa e pode usar essas informações para anúncios personalizados.

Desta forma, a situação pode se tornar ainda mais perigosa caso a sua conta do Google seja invadida, pois isto permitiria que hackers acessem todos as suas contas com códigos de autenticação armazenados no aplicativo.