Un buon motivo per non attivare la sincronizzazione di Google Authenticator

L'autenticazione a due fattori (2FA, two-factor authentication) è il modo più sicuro per proteggere il proprio account da malintenzionati, almeno finché le passkey non verranno implementate in maniera adeguata, e Google Authenticator è uno degli strumenti più usati per questo scopo, e dato che perderlo sarebbe deleterio, vi ricordiamo come rintracciare un telefono rubato.

Lunedì scorso, Google ha lanciato due novità per l'app: una nuova icona e, più importante, la possibilità di sincronizzare i codici 2FA con il vostro account della GrandeG. Per quanto la funzionalità sia comoda e apprezzata c'è però un'avvertenza: secondo gli esperti di sicurezza non dovreste usarla. 

Facciamo un passo indietro e cerchiamo di capire cosa sta succedendo. Google Authenticator è un'app che produce codici OTP (One Time Password) per l'autenticazione a due fattori e non ha mai avuto l'opzione di accesso con il vostro account. Con l'aggiunta di questa possibilità (non obbligatoria, potete continuare a usarlo senza accesso), i codici saranno sincronizzati con gli altri dispositivi associati al vostro account attraverso i server Google.

È importante osservare che quando abilitate la funzione assicuratevi che tutti i vostri dispositivi con Google Authenticator non abbiano codici di accesso per gli stessi account, perché Google Authenticator non riconoscerà i duplicati e non li unirà, quindi potreste trovarvi con una bella confusione. Per evitarlo, aggiornate Google Authenticator sul dispositivo principale e disinstallatela sugli altri per poi reinstallarla abilitando la sincronizzazione.

Ora però i ricercatori di Mysk hanno scoperto che mentre le chiavi di sicurezza sono crittografate sui dispositivi, non lo è il traffico che permette la sincronizzazione, il che significa che Google le può leggere. 

Ovviamente se vi fidate di Google per voi non è un problema, ma per chi è attento alla sicurezza lo è eccome. La casa di Mountain View ha replicato immediatamente, affermando che la questione è semplice: non vuole che in caso perdiate la chiave di accesso, ovvero la password del vostro account Google, rimaniate fuori da tutto e perdiate i vostri dati senza possibilità di recupero.

Google Password Manager infatti offre oggi la crittografia sul dispositivo che "trasforma il dispositivo in una chiave utilizzata per bloccare le password prima che vengano salvate in Google Password Manager". Tuttavia, "se perdete la chiave, potreste perdere anche le password".

Come nota a margine, la società ha anche aggiunto che i dati in transito da Authenticator e tutti gli altri prodotti Google sono in realtà crittografati.

Detto questo, Google ha promesso che in futuro aggiungerà l'opzione di abilitare la crittografia end-to-end in modo da venire incontro a queste richieste. O potete continuare a utilizzare Google Authenticator senza abilitare la sincronizzazione.