用户中心谷歌验证器期待已久的云2FA功能隐藏着风险
Google Authenticator于2010年首次推出,该应用程序存储并生成双因素身份验证(2FA)代码,多年来缺乏备份和多设备支持。这使得转移手机变得更加困难,如果你没有2FA的替代形式,处理丢失或被盗的设备就完全是一场噩梦。你会丢失登录受额外安全层保护的帐户所需的信息,并最终被锁定。
周一,这种情况终于改变了,谷歌更新了Authator,支持云同步备份。从Android的6.0版和iOS的4.0版开始,你现在可以选择将你的2FA种子(生成代码的信息)备份到谷歌账户中。如果您选择这样做,您将能够从任何设备访问和管理您的2FA代码。
这是谷歌验证器用户多年来一直要求的一项功能,而且有充分的理由。账户锁定不是闹着玩的。但即使考虑到这样一个地狱般的场景,你可能仍然想要推迟在云中同步你的2FA代码。
目前,谷歌验证器备份没有使用端到端加密(E2EE)–正如发现该问题的安全研究人员指出的那样,您的2FA种子并不是完全保密的。谷歌有能力看到它们。
Mysk在推特上发布了该警告的部分屏幕截图。
为什么谷歌说它在传输中(当你向其服务器发送信息时)和静态(当数据位于其服务器上)使用加密时会出现这种情况?它与数据的加密方式有关。使用目前的方法,谷歌拥有加密密钥–因为它有能力对你的数据进行加密和解密,所以当信息未加密时,它可以看到信息。
相比之下,如果你的谷歌验证器2FA种子是用E2EE保护的,你就可以控制加密。你的数据在离开你的设备时将保持保密,在不同的服务器之间传递,并存储在谷歌的服务器上。实际上,你可以用密码或密码锁定手机上的2FA种子,然后在下载到新设备上时随时使用相同的凭据解锁。
保守秘密。确保它的安全。(这只是谷歌验证器中存储的一个2FA帐户。你可以拥有更多。)
如果你的谷歌账户(或者更糟糕的是,谷歌的服务器)遭到入侵,E2EE可以更好地保护你。把它想象成把一套重要的房子钥匙放在保险箱里。从理论上讲,它们是安全的–只要你永远不会丢失保险箱钥匙,而且没有人复制你不知道的东西(即有人发现或猜测你的谷歌账户密码)。你还必须相信银行员工不会进入银行,并将始终妥善保护存放保险箱的金库。
但由于有人可以窃取你的保险箱钥匙(也就是说,人们经常重复使用密码或使用薄弱的密码),你可以通过首先包装和密封只有你才能撤销的方式来获得更多的保护。(这是E2EE。)你可能在去银行的路上被劫车,或者银行可能让一名员工无赖,或者有人用保险箱炸毁了金库,但你珍贵的钥匙仍然安全。
然而,根据谷歌的说法,缺乏对E2EE的支持是故意的。验证器应用程序的集团产品经理克里斯蒂安·布兰德在一系列简短的推文中解释说,团队在保护与可用性和便利性之间取得了平衡。布兰德还透露,可选的端到端加密最终将进入验证器。
在此之前,您可能应该考虑推迟对Google Authenticator的备份。风险可能不值得回报,尤其是当你可以切换到一个更好的替代应用程序。对于云同步的2FA代码,Authy具有跨平台支持(iOS,Android,Windows,Mac,Linux),使用E2EE,并且还允许您限制添加新设备。
与此同时,如果你只需要备份你的2FA种子,你可以使用Aegis(Android)或Raivo(IOS)等应用程序。它支持密码保护和加密您的2FA秘密。您也不必保存到云中。相反,您可以导出种子的加密副本,然后脱机将其存储在其他地方。
如果你选择仍然使用谷歌验证器的云备份,请确保在你的谷歌账户上启用了双因素身份验证。你不想让未经授权的人下载验证码,将其链接到你的谷歌账户,然后立即看到你所有的2FA代码–很可能是接管你其他非谷歌账户所需的最后一块拼图。
目前,谷歌的帮助页面显示,2FA是使用验证器的必填项,所以如果你已经设置了云备份,你可能会认为你已经准备好了。然而,我们能够链接到谷歌验证器与缺乏2FA保护的谷歌账户,这与帮助页面相矛盾。(我们就这个差异联系了谷歌,但没有立即收到对我们的置评请求的回应。)因此,请检查并确保。
总而言之,基本的结论是,为了保证你的2FA代码的完全安全,你目前最好离开谷歌验证器。(如果你按照谷歌的说明生成出口二维码,你可以非常容易地做到这一点。)否则,你至少应该确保你的谷歌账户启用了双因素身份验证–并使用几种2FA方法来避免意外锁定。
性感美女写真 美女摄影本文地址: https://www.q16k.com/article/46c010668fe6256a97ca.html
美工之家是众多先进素材,最新设计元素于一体,国内美工设计素材第一平台。发布作品,寻求设计元素,拥有众多美工素材,每日更新,是设计师的首选平台。
51图图库(www.51tutu.com)是专业图库大合集海量背景场景图片PNG免扣设计元素!提供矢量图素材、背景图片、psd素材、字体模板、设计素材、PPT模板、视频素材、插画绘画、海报设计模板、网站设计素材等下载服务。
华夏商务网每天聚合千万企业用户,上千万有效企业信息,为您提供供应信息、产品信息、项目信息、供应市场、供应动态分析、供应资讯于一体的商务供应板块。让你足不出户成交生意。
站长之家-站长工具提供whois查询工具,汉化版的域名whois查询工具。
该站点未添加描述description...
该站点未添加描述description...
该站点未添加描述description...
该站点未添加描述description...
96微信工具网
该站点未添加描述description...
该站点未添加描述description...
仙侠小说武侠仙侠小说排行榜,现代修真仙侠小说,免费修真仙侠小说,奇幻修真小说,洪荒仙侠小说,古典仙侠小说,仙侠小说完本大全,洪荒背景的仙侠小说,最新仙侠小说,男女生都爱看的仙侠小说,网络流行仙侠小说,仙侠小说推荐经典排行
保健食品网是食品伙伴网旗下面向保健食品行业提供全方位服务的综合网站,提供保健食品相关的最新保健食品资讯、相关保健食品标准、保健食品法规、保健食品产品和保健食品企业信息。
该站点未添加描述description...
该站点未添加描述description...
深圳致发织带工艺礼品厂主要产品:特多龙挂带,缎带,尼龙挂带,
漳州智觉
红山区长安网
嗨,微软。来吧。好的,过来,我们需要聊聊。听着,伙计,你知道我会支持你的。从3.1开始,我们就在Windows上展开合作。还记得那次我们请了16个人和4台电视一起在原版Xbox上玩Halo吗?经典的。但是听着,作为你的…作为你的长期客户,我得告诉你一件事。你必须冷静下来。尤其是当有人告诉您他们不想使用您的应用程序时。在过去的几年里,微...
Razer发布了RazerBlade18笔记本电脑,该公司称这是两个第一:可选的18英寸、200赫兹4K面板和迅雷5功能。最新的新款RazerBlade18的定价显然有些波动:标价2899.99美元起,但Razer的售价显然是2699.99美元。然而,Razer的购买页面上显示,RazerBlade18的起价为3,099.99美元。R...
像Roku这样的流媒体设备可以很容易地接入无数的服务,但在启动Netflix或Max之前,需要进行一些设置。以下是如何将流媒体应用程序添加到Roku主屏幕并进行相应组织的方法。如何添加流媒体频道首先,通过按遥控器上的Home按钮,确保您已进入Roku主页。屏幕右侧列出了一系列频道;这可能已经包括Netflix、Hulu和其他视频流服务...
流行娱乐界的共享世界并不新鲜。它在漫画书中可以追溯到几十年前,尽管直到20世纪70年代它才真正被定义为这样。看待这个问题的基本方法是,如果虚构的角色A遇到虚构的角色B,那么B遇到C,那么A和C(以及他们认识的其他所有人)生活在同一个宇宙中。你可以在《星球大战》、《星际迷航》、甚至《哥斯拉》和《环球电影怪兽》等媒体系列电影中看到这一点。...
2015年7月7日(周二)上午10:00整准点开启留言功能,楼层奖品分布如下:【6楼】:5元现金【16楼】:6元现金【26楼】:1G独立IP主机一台【36楼】:8元现金【46楼】:蓝牙耳机一个【56楼】:5元现金【66楼】:6元现金【86楼】:迷你音箱一台【100楼】:10元现金【参与奖】:未中奖的朋友,你可凭踢楼使用的邮箱,只需99...