ก่อนหน้านี้ Google Authenticator ได้เพิ่มฟีเจอร์สำรองโทเคนเก็บรหัสที่ใช้ยืนยันตัวตนแบบ 2 ขั้น (2FA) ไว้บนคลาวด์ แต่ผู้เชี่ยวชาญเตือนผู้ใช้งานว่าอย่าเพิ่งเปิดใช้งานฟีเจอร์นี้ เพราะอาจก่อให้เกิดความเสี่ยงต่อความปลอดภัย เพราะข้อมูลที่ซิงก์ขึ้นคลาวด์นั้นไม่ได้มีการเข้ารหัสไว้ ล่าสุด Google บอกว่าจะนำระบบการเข้ารหัสแบบ 2 ฝั่ง (end-to-end encryption – E2EE) มาใช้ในอนาคต (แต่ไม่รู้ว่าเมื่อไหร่
ผู้เชี่ยวชาญด้านไซเบอร์จาก Mysk พบว่าข้อมูลโทเคน 2FA ที่อัปโหลดขึ้นไปในคลาวด์ของ Google ไม่ได้รับการคุ้มครองด้วย E2EE โดยที่ไม่มีตัวเลือกปกปิดข้อมูลด้วย จึงเตือนว่า (พนักงาน) Google จะสามารถเห็นความลับของผู้ใช้งานได้ หรือมีความเสี่ยงเพิ่มที่จะถูกดักข้อมูลไประหว่างทาง พร้อมแสดงตัวอย่างให้ดูบนทวีตจากบัญชีทางการ
สำหรับ E2EE เป็นระบบการเข้ารหัสหรือปกปิดข้อมูลตั้งแต่อุปกรณ์ของต้นทาง (ผู้ส่งข้อมูล) ก่อนจะส่งข้อมูลไปยังปลายทาง (ผู้รับข้อมูล)
ผู้ที่จะเห็นข้อมูลจะมีเฉพาะเจ้าของข้อมูลเท่านั้น แม้แต่ผู้ดูแลระบบ หรือเจ้าของโครงสร้างพื้นฐานและเครือข่ายจะไม่มีสิทธิเห็นข้อมูลที่ส่งระหว่างกัน
ส่วน 2FA คือระบบการยืนยันตัวตนแบบ 2 ชั้น ใช้สำหรับการล็อกอินเข้าสู่บัญชีดิจิทัลที่จะเพิ่มขั้นตอนการยืนยันตัวตนมาอีก 1 ชั้น โดยอาจเป็นในรูปแบบของรหัสที่ส่งใน SMS คลิปเสียงโทรศัพท์ หรืออีเมล
ซึ่ง Google Authenticator เป็นซอฟต์แวร์ที่เข้ามาช่วยอำนวยความสะดวกในการสร้างรหัสที่ใช้ใน 2FA เพิ่มเติมอีกช่องทางหนึ่ง
การที่ข้อมูลที่ซิงก์ขึ้นไปบนเซิร์ฟเวอร์ของ Google ผ่าน Google Authenticator ไม่มีระบบ E2EE มาป้องกัน จะทำให้ไม่ว่าใครก็ตามที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Google ก็จะสามารถเข้าไปดูข้อมูลได้
นั่นแปลว่าหากมีผู้ไม่หวังดี (แฮกเกอร์หรือแม้แต่พนักงานของ Google เอง!) เข้าไปดูข้อมูลบนคลาวด์ของ Google ก็จะสามารถนำข้อมูลรหัสผ่านทั้งหมดของผู้ใช้งาน Google ไปใช้ทะลวง 2FA ได้โดยง่าย
คำตอบของ Google
Google ให้คำมั่นว่าจะเพิ่ม E2EE เข้าไปในเวอร์ชันในอนาคตของ Google Authenticator โดยชี้ว่าที่เดิมไม่ได้ใส่ไว้เพราะกลัวว่าอาจไปเพิ่มความยุ่งยากให้กับผู้ใช้งาน
คริสเตียน แบรนด์ (Christiaan Brand) ผู้จัดการผลิตภัณฑ์ของ Google Group ระบุกับเว็บไซต์ BleepingComputer ว่า E2EE อาจทำให้ผู้ใช้งานที่จำรหัสผ่านไม่ได้ถูกล็อกจากข้อมูลของตัวเอง แต่ยืนยันว่าบริษัทคำนึงถึงความปลอดภัยของข้อมูลที่ต้องมาพร้อมกับความสะดวกของการใช้งาน
ที่มา bleepingcomputer
พิสูจน์อักษร : สุชยา เกษจำรัส