昨天蓝点网提到发布 13 年后谷歌身份验证器 (Google Authenticator) 终于支持云端同步功能，支持云端同步功能后用户绑定的所有 TOTP / 2FA 信息都会保存在谷歌账户里，这样既可以跨平台同步，也可以在手机丢失的情况下快速恢复数据。

然而谷歌身份验证器目前并不支持端到端加密 (E2EE) 功能，也就是说如果用户启用同步功能，则谷歌可以查看用户绑定的 TOTP /2FA 信息，因此这属于一个潜在的安全弱点。

对于为何不支持 E2EE 谷歌也有自己的说法，谷歌工程师表示：

新增的云端同步功能目标是提供保护用户的功能，同时又要实用且方便，我们知道 E2EE 是一项可以提供额外保护的强大功能，但其缺点是如果用户忘记或丢失他们的谷歌账户密码，那用户自己也无法恢复数据。

简单来说谷歌认为一旦加密后如果用户账户出现问题无法登录，那么谷歌也没办法帮助用户解密数据。这个理由多少有些牵强了，毕竟现在主流密码管理器、浏览器自带的密码管理都需要设置主密钥，一旦主密钥丢失确实没法恢复数据，但这个问题不应该是谷歌不支持 E2EE 的理由。

当然谷歌也承诺既然用户有需要那后面会提供 E2EE 支持，届时启用 E2EE 加密后，除了用户自己没人能够查看用户的验证信息，包括谷歌。

另外谷歌也提醒如果用户担忧隐私问题，那可以考虑不启用同步功能，此功能并非默认开启，理论上说只有完全离线的才是最安全的，否则如果用户谷歌账号被黑客入侵，那所有验证信息同样会被泄露。