谷歌验证器期待已久的云2FA功能隐藏着风险

文章编号:3301 综合杂烩 2024-07-09 快马论坛网

Google Authenticator于2010年首次推出,该应用程序存储并生成双因素身份验证(2FA)代码,多年来缺乏备份和多设备支持。这使得转移手机变得更加困难,如果你没有2FA的替代形式,处理丢失或被盗的设备就完全是一场噩梦。你会丢失登录受额外安全层保护的帐户所需的信息,并最终被锁定。

周一,这种情况终于改变了,谷歌更新了Authator,支持云同步备份。从Android的6.0版和iOS的4.0版开始,你现在可以选择将你的2FA种子(生成代码的信息)备份到谷歌账户中。如果您选择这样做,您将能够从任何设备访问和管理您的2FA代码。

这是谷歌验证器用户多年来一直要求的一项功能,而且有充分的理由。账户锁定不是闹着玩的。但即使考虑到这样一个地狱般的场景,你可能仍然想要推迟在云中同步你的2FA代码。

目前,谷歌验证器备份没有使用端到端加密(E2EE)–正如发现该问题的安全研究人员指出的那样,您的2FA种子并不是完全保密的。谷歌有能力看到它们。

文章:《谷歌验证器期待已久的云2FA功能隐藏着风险》_配图

Mysk在推特上发布了该警告的部分屏幕截图。

为什么谷歌说它在传输中(当你向其服务器发送信息时)和静态(当数据位于其服务器上)使用加密时会出现这种情况?它与数据的加密方式有关。使用目前的方法,谷歌拥有加密密钥–因为它有能力对你的数据进行加密和解密,所以当信息未加密时,它可以看到信息。

相比之下,如果你的谷歌验证器2FA种子是用E2EE保护的,你就可以控制加密。你的数据在离开你的设备时将保持保密,在不同的服务器之间传递,并存储在谷歌的服务器上。实际上,你可以用密码或密码锁定手机上的2FA种子,然后在下载到新设备上时随时使用相同的凭据解锁。

文章:《谷歌验证器期待已久的云2FA功能隐藏着风险》_配图1

保守秘密。确保它的安全。(这只是谷歌验证器中存储的一个2FA帐户。你可以拥有更多。)

如果你的谷歌账户(或者更糟糕的是,谷歌的服务器)遭到入侵,E2EE可以更好地保护你。把它想象成把一套重要的房子钥匙放在保险箱里。从理论上讲,它们是安全的–只要你永远不会丢失保险箱钥匙,而且没有人复制你不知道的东西(即有人发现或猜测你的谷歌账户密码)。你还必须相信银行员工不会进入银行,并将始终妥善保护存放保险箱的金库。

但由于有人可以窃取你的保险箱钥匙(也就是说,人们经常重复使用密码或使用薄弱的密码),你可以通过首先包装和密封只有你才能撤销的方式来获得更多的保护。(这是E2EE。)你可能在去银行的路上被劫车,或者银行可能让一名员工无赖,或者有人用保险箱炸毁了金库,但你珍贵的钥匙仍然安全。

然而,根据谷歌的说法,缺乏对E2EE的支持是故意的。验证器应用程序的集团产品经理克里斯蒂安·布兰德在一系列简短的推文中解释说,团队在保护与可用性和便利性之间取得了平衡。布兰德还透露,可选的端到端加密最终将进入验证器。

文章:《谷歌验证器期待已久的云2FA功能隐藏着风险》_配图2

在此之前,您可能应该考虑推迟对Google Authenticator的备份。风险可能不值得回报,尤其是当你可以切换到一个更好的替代应用程序。对于云同步的2FA代码,Authy具有跨平台支持(iOS,Android,Windows,Mac,Linux),使用E2EE,并且还允许您限制添加新设备。

与此同时,如果你只需要备份你的2FA种子,你可以使用Aegis(Android)或Raivo(IOS)等应用程序。它支持密码保护和加密您的2FA秘密。您也不必保存到云中。相反,您可以导出种子的加密副本,然后脱机将其存储在其他地方。

文章:《谷歌验证器期待已久的云2FA功能隐藏着风险》_配图3

如果你选择仍然使用谷歌验证器的云备份,请确保在你的谷歌账户上启用了双因素身份验证。你不想让未经授权的人下载验证码,将其链接到你的谷歌账户,然后立即看到你所有的2FA代码–很可能是接管你其他非谷歌账户所需的最后一块拼图。

目前,谷歌的帮助页面显示,2FA是使用验证器的必填项,所以如果你已经设置了云备份,你可能会认为你已经准备好了。然而,我们能够链接到谷歌验证器与缺乏2FA保护的谷歌账户,这与帮助页面相矛盾。(我们就这个差异联系了谷歌,但没有立即收到对我们的置评请求的回应。)因此,请检查并确保。

总而言之,基本的结论是,为了保证你的2FA代码的完全安全,你目前最好离开谷歌验证器。(如果你按照谷歌的说明生成出口二维码,你可以非常容易地做到这一点。)否则,你至少应该确保你的谷歌账户启用了双因素身份验证–并使用几种2FA方法来避免意外锁定。

外链关键词:  全文专业率  16岁小美女  请问康宝莱是什么原因  美女被性侵故事  嘉峪关网上学历提升教育  华侨大学法学院  南十字星  西安和洛阳哪个好玩 
本文地址: https://www.q16k.com/article/46c010668fe6256a97ca.html
美工之家

美工之家是众多先进素材,最新设计元素于一体,国内美工设计素材第一平台。发布作品,寻求设计元素,拥有众多美工素材,每日更新,是设计师的首选平台。

51图图库

51图图库(www.51tutu.com)是专业图库大合集海量背景场景图片PNG免扣设计元素!提供矢量图素材、背景图片、psd素材、字体模板、设计素材、PPT模板、视频素材、插画绘画、海报设计模板、网站设计素材等下载服务。

华夏商务网

华夏商务网每天聚合千万企业用户,上千万有效企业信息,为您提供供应信息、产品信息、项目信息、供应市场、供应动态分析、供应资讯于一体的商务供应板块。让你足不出户成交生意。

域名Whois查询

站长之家-站长工具提供whois查询工具,汉化版的域名whois查询工具。

绘本借阅平台提醒

该站点未添加描述description...

至尊用车

该站点未添加描述description...

LG
LG

该站点未添加描述description...

皓韵

该站点未添加描述description...

喜杰门业

该站点未添加描述description...

上古仙侠言情类小说

仙侠小说武侠仙侠小说排行榜,现代修真仙侠小说,免费修真仙侠小说,奇幻修真小说,洪荒仙侠小说,古典仙侠小说,仙侠小说完本大全,洪荒背景的仙侠小说,最新仙侠小说,男女生都爱看的仙侠小说,网络流行仙侠小说,仙侠小说推荐经典排行

保健食品网

保健食品网是食品伙伴网旗下面向保健食品行业提供全方位服务的综合网站,提供保健食品相关的最新保健食品资讯、相关保健食品标准、保健食品法规、保健食品产品和保健食品企业信息。

2to15.com 

该站点未添加描述description...

Deng.com灯网

该站点未添加描述description...

深圳致发织带工艺礼品厂

深圳致发织带工艺礼品厂主要产品:特多龙挂带,缎带,尼龙挂带,