e-GÜVENLİK, e-HABER

Google’dan Uçtan Uca Şifreleme

Share Tweet
google-authenticatora-uctan-uca-sifreleme

Google Authenticator'a E2EE Geliyor...

14:30:16

Google, Google Authenticator’a Uçtan Uca şifreleme ekleyecek…

Google, araştırmacıların kullanıcıları 2FA kodlarını Google hesaplarıyla senkronize etmemeleri konusunda uyarmasının ardından Google Authenticator bulut yedeklemelerine uçtan uca şifreleme getiriyor. Bu hafta, Google Authenticator nihayet uzun zamandır beklenen 2FA belirteçlerini buluta yedekleyebilme özelliğine kavuştu…

Bu yeni özellik, kullanıcıların Google Authenticator 2FA belirteçlerini Google hesaplarıyla senkronize etmelerine olanak tanıyarak, mobil cihazlarının kaybolması veya hasar görmesi durumunda bir yedekleme sağlıyor.

Ayrıca, hepsi aynı Google hesabında oturum açtığı sürece kullanıcıların 2FA belirteçlerine birden fazla cihazdan erişmesine olanak tanır.

Uçtan uca şifreleme yok
Ancak Google Authenticator bulut senkronizasyonunun duyurulmasından kısa bir süre sonra Mysk‘teki güvenlik araştırmacıları, verilerin Google‘ın sunucularına yüklenirken uçtan uca şifrelenmediğini keşfetti.

Mysk tarafından atılan bir tweet’te “Uygulama sırları senkronize ederken ağ trafiğini analiz ettik ve trafiğin uçtan uca şifrelenmediği ortaya çıktı" deniyor.

“Ekran görüntülerinde gösterildiği gibi, bu, Google’ın sırları muhtemelen sunucularında saklanırken bile görebileceği anlamına geliyor. Sırları korumak ve yalnızca kullanıcı tarafından erişilebilir kılmak için bir parola ekleme seçeneği yoktur."

Uçtan Uca şifreleme, verilerin iletilmeden ve başka bir cihazda saklanmadan önce yalnızca sahibi tarafından bilinen bir parola kullanılarak bir cihazda şifrelenmesidir. Bu veriler şifrelendiği için, verilerin depolandığı sunucuya erişimi olanlar da dahil olmak üzere artık başka hiç kimse tarafından erişilemez.

Google Authenticator uçtan uca şifreleme sunmadığından, veriler Google‘ın sunucusunda, bir Google ihlali veya kötü niyetli bir çalışan yoluyla yetkisiz kullanıcıların potansiyel olarak erişebileceği bir biçimde saklanır.

“Her 2FA QR kodu, tek seferlik kodları oluşturmak için kullanılan bir sır ya da tohum içerir. Eğer başka biri bu sırrı biliyorsa, aynı tek seferlik kodları üretebilir ve 2FA korumalarını aşabilir," diye devam etti Mysk.

“Dolayısıyla, bir veri ihlali olursa veya birisi Google Hesabınıza erişim sağlarsa, tüm 2FA sırlarınız tehlikeye girecektir."

Bir başka popüler kimlik doğrulama uygulaması olan Authy, uçtan uca şifrelenmiş 2FA belirteçlerinin bulut yedeklemelerini sunduğu için yıllar içinde popülerliğini artırdı.

Authy‘de bu özelliği kullanırken, kullanıcıların yalnızca kendilerinin bildiği bir şifre girmeleri gerekir ve bu da yüklenen verilerin mobil cihazlarından çıkmadan önce şifrelenmesine neden olur.

Ayrıca Authy, uçtan uca şifreleme parolası belirlenmediği sürece verilerin yedeklenmesine izin vermeyerek daha iyi güvenlik sağlar.

Bununla birlikte, bu özellik bir risk oluşturmaktadır, çünkü kullanıcılar verilerinden kilitlenebilir ve şifreyi kaybetmeleri durumunda başka bir cihaza geri yükleyemezler.

Google Authenticator’a E2EE geliyor
Google, kullanıcıların uçtan uca şifreleme eksikliği konusundaki endişelerini duydu ve bunu Google Authenticator‘ın gelecekteki bir sürümüne ekleyeceklerini söyledi.

Google Grup Ürün Müdürü Christiaan Brand, yaptığı açıklamada, uçtan uca şifrelemenin kullanıcıların kendi verilerinden mahrum kalmasına neden olma olasılığı nedeniyle, bu özelliği ürünlerinde dikkatli bir şekilde kullanıma sunduklarını söyledi.

“Kullanıcılarımızın güvenliği ve emniyeti Google’da yaptığımız her şey için çok önemlidir ve bu ciddiye aldığımız bir sorumluluktur. Google Authenticator uygulamasına yapılan son güncelleme bu misyonu göz önünde bulundurarak yapıldı ve kullanıcılara güvenliklerini ve gizliliklerini koruyan ama aynı zamanda kullanışlı ve elverişli bir şekilde sunabilmek için dikkatli adımlar attık," diyor Brand.

“Google Authenticator da dahil olmak üzere tüm ürünlerimizde verileri aktarım sırasında ve beklemedeyken şifreliyoruz. Uçtan Uca Şifreleme (E2EE), ekstra koruma sağlayan güçlü bir özelliktir, ancak kullanıcıların kendi verilerinden kurtarılmadan kilitlenmelerine neden olma pahasına. Kullanıcılara eksiksiz seçenekler sunduğumuzdan emin olmak için bazı ürünlerimizde isteğe bağlı E2EE’yi kullanıma sunmaya başladık ve gelecekte Google Authenticator için de E2EE sunmayı planlıyoruz."

Google ayrıca, Google hesaplarıyla senkronize edilen verileri şifrelemek için bir parola belirlemenize olanak tanıyan Google Chrome gibi bazı hizmetlerinde zaten E2E şifreleme sağlıyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…
Arşivden
Kuşlarda Kırmızı Rengin NedeniResimleriniz Microsoft’a Gidiyor OlabilirBilinen En Eski Polen Taşıyıcısı OlabilirlerYeni Pandemiler TetiklenebilirVirüsün Kökeni Laboratuvar mı?Kendini İnsana BenzetiyorCilt Kanserine mRNA Aşısı DenemesiSaç Ekimi Hakkında Her ŞeyCesetlerin Tuhaf ÖzelliğiStarlink’in Şimdiki Hedefi Mobil Telefonlar
Etiketler: , ,

Senin İçin Tavsiye Ediliyor

merkelin-anilarinda-trump-ve-putin

Merkel’in Anılarında Trump ve Putin

50a-sahte-balina-kopekbaligi-bileti-ofkesi

50$’a Sahte Balina Köpekbalığı Bileti

haber-ozetleri

Güncellenen Haber Özetleri 21/11/2024

error: İçerik korunmaktadır !!