bencede
New member
Yaklaşık bir ay önce Google, Authenticator uygulamasına, uygulamanın tek seferlik şifreler ürettiği gizli tohumları senkronize etme özelliği verdi. İyi niyetler genellikle kötü yapılır ve burada da durum aynıdır: TLS şifreli bağlantıda, veriler düz metin olarak tutulur. Çözüm, uç cihazdaki verileri şifrelemek, yani uçtan uca şifrelemedir. Değişiklik günlüğüne göre bu, şu anda yayınlanan Google Authenticator güncellemesine eklenmelidir. Ancak durum böyle değil.
Üretici, Google Play Store’da kimlik doğrulayıcı için bir güncelleme sağladı. Söz verilen yarı gizli cihaz şifrelemesini sunması gerekiyordu, ama vermiyor.
(Resim: ekran görüntüsü / dmk)
En azından Google Authenticator sürüm 6.0 için değişiklik notu, “Gizli değerleri depolamak için cihaz şifrelemesi eklendi” diyor. BT güvenlik çevrelerindeki öfke nedeniyle Google, kimlik doğrulayıcıda uçtan uca şifreleme (E2EE) sağlayacağını duyurmuştu.
Google Authenticator – varsayılan cihaz şifrelemesi, ancak E2EE yok
Haberler Security tarafından yeni sürümde eklenen hesaplar, beklendiği gibi Google Authenticator yedeğinde kaldı. Verileriniz, TLS şifreli bir bağlantı aracılığıyla güvence altına alınmıştır. Ancak, ortadaki bir adam gibi oraya bakarsanız, Base32 kodlu gizli tohumlar bulacaksınız – aslında düz metindir. Uçtan uca şifreleme ile artık tohumlar bulunmamalıdır.
Güncellemenin tam olarak neyi şifrelediği veya ne zaman şifrelediği belirsizliğini koruyor. Google’ın, güncellemenin vaat edilen E2EE’yi sağlayıp sağlamadığına ve kullanıcıların etkinleştirme için ayar yapması gerekip gerekmediğine ilişkin çevrimiçi sorgusuna yanıt bekleniyor.
Gizli tohum, açık düz metin olarak TLS şifreli bağlantıda bulunabilir.
(Resim: Ekran görüntüsü / rei)
Mevcut bilgi durumuna göre, Haberler Security’nin önerisi, diğer kimlik doğrulama uygulamalarına güvenmeye devam ediyor. Authy gibi diğer uygulamalar, gizli tohumları yedekleyip senkronize edebilir ve bunları yalnızca sizin bildiğiniz bir ana parola ile koruyabilir.
(dmk)
Haberin Sonu
Üretici, Google Play Store’da kimlik doğrulayıcı için bir güncelleme sağladı. Söz verilen yarı gizli cihaz şifrelemesini sunması gerekiyordu, ama vermiyor.
(Resim: ekran görüntüsü / dmk)
En azından Google Authenticator sürüm 6.0 için değişiklik notu, “Gizli değerleri depolamak için cihaz şifrelemesi eklendi” diyor. BT güvenlik çevrelerindeki öfke nedeniyle Google, kimlik doğrulayıcıda uçtan uca şifreleme (E2EE) sağlayacağını duyurmuştu.
Google Authenticator – varsayılan cihaz şifrelemesi, ancak E2EE yok
Haberler Security tarafından yeni sürümde eklenen hesaplar, beklendiği gibi Google Authenticator yedeğinde kaldı. Verileriniz, TLS şifreli bir bağlantı aracılığıyla güvence altına alınmıştır. Ancak, ortadaki bir adam gibi oraya bakarsanız, Base32 kodlu gizli tohumlar bulacaksınız – aslında düz metindir. Uçtan uca şifreleme ile artık tohumlar bulunmamalıdır.
Güncellemenin tam olarak neyi şifrelediği veya ne zaman şifrelediği belirsizliğini koruyor. Google’ın, güncellemenin vaat edilen E2EE’yi sağlayıp sağlamadığına ve kullanıcıların etkinleştirme için ayar yapması gerekip gerekmediğine ilişkin çevrimiçi sorgusuna yanıt bekleniyor.
Gizli tohum, açık düz metin olarak TLS şifreli bağlantıda bulunabilir.
(Resim: Ekran görüntüsü / rei)
Mevcut bilgi durumuna göre, Haberler Security’nin önerisi, diğer kimlik doğrulama uygulamalarına güvenmeye devam ediyor. Authy gibi diğer uygulamalar, gizli tohumları yedekleyip senkronize edebilir ve bunları yalnızca sizin bildiğiniz bir ana parola ile koruyabilir.
(dmk)
Haberin Sonu