Google Authenticator 동기화는 암호화를 사용하지 않습니다

 (defcon.social)
8P by kuroneko 2023-04-26 | favorite | 댓글 4개
  • Google 인증기의 클라우드 동기화 기능을 분석한 결과, 종단간 암호화되지 않은 것으로 파악됨.
  • 동기화된 모든 2차 인증 코드는 구글 서버에 암호화 없이 저장되어 보안 위험에 노출될 수 있음.
    • 구글 계정이 해킹되는 순간 모든 2차 인증 코드도 같이 유출됨.
    • 구글이 모든 2차 인증 코드를 확인할 수 있음.
  • 당분간 클라우드 동기화 기능은 사용하지 않는 것을 추천.
  • 유사한 서비스인 Authy는 2차 인증 코드를 서버로 전송하기 전에 암호화를 진행함.
woosuk 2023-04-26  [-]

그냥 Authy 써야겠군요... 구글이 구글했다

답변달기
minkang 2023-04-26  [-]

구글도 동기화를 한다기에 옮겨볼까 생각했는데 그냥 Authy를 계속 써야겠네요..

답변달기
xguru 2023-04-26  [-]

역시 그냥 Authy 에 머물러야 ㅠ

답변달기
kuroneko 2023-04-26  [-]

2차 인증 코드를 백업한다면 종단간 암호화가 필수라고 생각했는데...
이러면 아직 사용하기는 어렵겠네요.

내용 중 "구글이 모든 2차 인증 코드를 확인할 수 있다" 에 대한 건, 구글이 그렇게 한다기보다는...
구글에서 데이터 유출 사고가 발생하거나 법적 문제로 인해 데이터가 유출될 수 있다 정도입니다.

답변달기