A Google tegnap jelentette be, hogy frissítette az Android és iOS telefonokra is elérhető, és sokak által kedvelt Authenticator-t. A különböző alkalmazásokkal szinkronizálható számsor a felhasználói fiókok (többek között a kripto tőzsdéken vezetett számlák) védelmét hivatott biztosítani, ám egy új funkció megjelenése most éppen ezek feltörését teheti könnyebbé.
Az Authenticator egyik gyenge pontja, hogy ha elveszítjük a telefonunkat, akkor a hozzáférésünk is megszűnhet a készülékkel szinkronizált alkalmazásokhoz. A Google ezt a problémát most azzal oldaná meg, hogy az Authenticator-t szinkronizálhatóvá tette a Google fiókunkkal, amire kérhető lesz egy olyan helyreállító kód, amivel az eredeti telefon hiányában, akár egy másik Androidos vagy iOS eszközön is visszaállítható lesz az apphoz rendelt belépő kódok listája.
A probléma mindezzel az, hogy a kétfaktoros hitelesítéssel védett fiókjaink biztonsága innentől kezdve meg fog egyezni a Google fiókunk biztonságával. Ha azt feltörik, hozzáférhetnek a helyreállító kódsorhoz is, ezen keresztül pedig minden más 2FA-val védett belépőnkhöz.
A kockázat még nagyobb lehet, ha az adott Google fiók nem csak az Authenticator helyreállító kódunkat tartalmazza, hanem konkrétan arról regisztráltunk be egy számunkra fontos oldalra, például egy tőzsdére is. Ebben az esetben egy hacker gond nélkül kipakolhatja a számlánkat, a jogosultságokkal ugyanis könnyen átjuthat a legtöbb felhasználó által használt email + 2fa kódos dupla megerősítésen.
[banner id=”77461″ caption_position=”bottom” theme=”default_style” height=”auto” width=”auto” show_caption=”1″ show_cta_button=”1″ use_image_tag=”1″]
Az Authenticator újítása tehát amellett, hogy tényleg hasznos lehet, de veszélyeket is rejthet magában. Kripto tőzsdei felhasználóként ezért érdemes egyéb biztonsági opciókat is bekapcsolni, például élni a fehér listás (Whitdrawal Whitelist) kiutalási címek lehetőségével.
Ha ezeket beállítjuk, bárki is lép be a fiókunkba, csak az általunk már korábban jóváhagyott címekre tud majd kiutalást kezdeményezni. Itt tehát érdemes megadni egy olyan privát tárca címet, amihez csak mi rendelkezünk hozzáféréssel.
A fehér címek módosítása csak több napos átfutási idővel történhet meg, ami alatt ha úgy észleljük, hogy illetéktelenek matatnak a fiókunkkal, értesíteni tudjuk a tőzsdét, vagy akár mi magunk is kiutalhatjuk a pénzünket az oldalról.
A legtöbb tőzsde támogatja a fehér címek beállítását. A Binance-en ez a lehetőség ebben a menüben érhető el.
Akinek van a mindennapokban használt telefonja mellett egy régebbi, vagy tartalék készüléke, az a Google újítása nélkül is könnyen készíthet biztonsági másolatot a saját Authenticator listájáról.