导语:谷歌将为Google Authenticator加入端到端加密。
谷歌将为Google Authenticator加入端到端加密。
Google Authenticator(身份验证器)是谷歌推出的基于时间的一次性密码(Time-based One-time Password),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。Google Authenticator是一款非常主流的身份认证应用,下载量超过1亿。
2FA token云端备份
4月25日,Google Authenticator完成了将2FA token(双因子验证口令)备份到云端的功能。该功能允许用户将Google Authenticator 2FA tokens与谷歌账户进行同步,用户可以通过多种设备来访问2FA token,如果移动设备丢失或受到破坏仍然可以起到备份作用。
无端到端加密
Google Authenticator云同步功能发布后,来自Mysk的安全研究人员在推特指出数据在上传到谷歌服务器时未进行端到端加密。研究人员分析了APP同步过程中的网络流量,发现流量并不是端到端加密的。也就是说谷歌是可以看到同步的信息的。目前尚未实现只有上传的用户才能够访问这些信息。
图 Mysk推文
端到端加密(E2EE)是数据在传输和存储到另一个设备之前使用只有用户(所有者)知道的密码对其进行加密。因为数据是加密的,因此无法被其他人访问。但Google Authenticator不提供端到端加密,保存在谷歌服务器上的数据是有可能被其他非授权的用户访问的,比如数据泄露。
每个2FA二维码中包含一个秘密或seed,用于生成一次性口令。如果其他用户知道了seed,那么就可以生成相同的一次性口令,以绕过2FA的保护。
谷歌将引入E2EE
谷歌了解到用户对Google Authenticator中未使用端到端加密的担忧后,表示将在之后的版本中加入端到端加密。谷歌称考虑到端到端加密可能会导致用户在忘记口令后导致其数据不能被访问,因此其在产品中使用该功能非常慎重。目前,谷歌已在Chrome浏览器中引入了端到端加密,未来计划在Google Authenticator中引入端到端加密。
本文翻译自:https://www.bleepingcomputer.com/news/google/google-authenticator-now-backs-up-your-2fa-codes-to-the-cloud/ https://www.bleepingcomputer.com/news/google/google-will-add-end-to-end-encryption-to-google-authenticator/如若转载,请注明原文地址
