Google Authenticator App Gets Cloud Backup Feature for TOTP Codes
2023/04/25 TheHackerNews — 4月24日 (月) に Google は、12年の歴史を持つ Android/iOS 用の Authenticator アプリに関する、アカウント同期オプションのメジャー・アップデートを発表し、ワンタイム・パスワード (TOTPs:Time-based One-Time Passwords) コードを、ユーザーがクラウドにバックアップできるようにした。
Google の Christiaan Brand は、「このアップデートにより、ユーザーはロックアウトから安全に保護され、アクセスを保持するユーザーに、サービスが依存できることを意味しており、利便性とセキュリティの両方が向上する」と述べている。
このアップデートにより、二要素認証 (2FA) アプリに新しいアイコンが追加され、ついに Apple の iCloud キーチェーンと並ぶようになった。インストールした端末に紐づくようになり、機種変更時に手間がかかるという、長年の不満が解消された。
Google は、「さらに悪いことに、デバイスにアクセスできなくなったユーザーは、Authenticator を使用して 2FA を設定したサービスにサインインできなくなる」と説明している。
クラウド同期機能はオプションであり、ユーザーは Authenticator アプリを Google アカウントにリンクさせずに使用できる。とはいえ、Google アカウントにアクセスした脅威アクターが、それを利用して、他のオンラインサービスに侵入する可能性も生じる。したがって、クラウド・バックアップに関連する危険性は、常に念頭に置いておく必要がある。
先週に、アクティブ・アカウント数が1億を突破した。スイスのプライバシー保護企業の Proton が、E2E (End-to-End) の暗号化パスワード・マネージャー・ソリューション Proton Pass を発表した。それから、数日後に、この展開が生じている。
このツールは、オープンソースであり、公開監査が可能なものであるが、認証に bcrypt パスワードハッシュ関数と Secure Remote Password (SRP) プロトコルの強化版を利用しており、2FA 機能も備えている。
この記事を訳した後に、手元の Android デバイスで Authenticator を調べてみたら、Setting > Time Correction for Code というオプションが入っていました。これを有効化すれば、Google Cloud が預かってくれるということ、それで良いのでしょうか? いろいろと、悩みがつきません。
IoT OT Security News 
You must be logged in to post a comment.