Google 的免費 Authenticator 應用長期以來一直是存儲許多在線服務使用的雙因素身份驗證 (2FA) 系統所需的定時代碼的最佳方式之一。然而,它總是受到一個煩人的限制的困擾:這些代碼只存儲在您使用的任何設備上。
雖然很難反駁這種方法的安全性,但對於想要從 iPhone 和 iPad 等多種設備訪問其雙因素代碼的人們來說,這會帶來麻煩。升級到較新的 iPhone 時也很麻煩,因為由於代碼在應用程序中的存儲方式,它們通常不會從備份中恢復到新手機上。
不用說,當 Google 產品經理 Christiaan Brand 本週分享了新聞,Google 身份驗證器可以使用您的 Google 帳戶備份和同步一次性驗證碼。當您認為該應用程序於 2010 年作為市場上首批 2FA 應用程序之一發佈時,這就是當之無愧的“最終”。
但是,在安全研究人員仔細研究了 Google 正在做的事情並發現它缺乏重要的保護措施來存儲與人們的 2FA 代碼一樣敏感的數據之後,這種興奮是短暫的。
在長推文中(是的,Twitter 現在允許付費會員撰寫論文),Mysk 指出新系統缺乏端到端加密 (E2E),並建議 Google Authenticator 用戶不要啟用它。
Google 剛剛更新了其 2FA Authenticator 應用程序並添加了一項急需的功能:跨設備同步機密的能力。
TL;DR:不要打開它
新更新允許用戶使用他們的 Google 帳戶登錄並在他們的 iOS 和 Android 設備上同步 2FA 秘密。… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 2023 年 4 月 26 日
> p>我們分析了應用程序同步秘密時的網絡流量,結果發現流量沒有端到端加密。如屏幕截圖所示,這意味著谷歌可以看到這些秘密,甚至可能是在它們存儲在他們的服務器上時。沒有添加密碼來保護秘密的選項,使它們只能由用戶訪問。Mysk
雖然您可能認為公開每 30 秒更改一次的 2FA 代碼沒有什麼壞處,您的 Google 帳戶中未加密存儲的 Google 身份驗證器信息還包含用於生成這些代碼的密鑰或“種子”。這意味著任何有權訪問此信息的人都可以在另一台設備上生成相同的 2FA 代碼,從而可能危及您的安全。
當然,他們仍然必須知道您的密碼,但 2FA 的全部意義在於在您的密碼被攔截或因數據洩露而洩露的情況下保護您的帳戶。
從好的方面來說,2FA 機密不包含在從您的 Google 帳戶導出的數據中,因此它們在這方面是安全的,但如果黑客將獲得對您的 Google 帳戶的訪問權限。
此外,正如 Mysk 團隊指出的那樣,這還有一個隱私方面的問題:“由於谷歌可以看到所有這些數據,它知道你使用了哪些在線服務,並可能將這些信息用於個性化廣告”谷歌的數據挖掘實踐眾所周知,因此不能假設它不會使用這些數據來分析其用戶。
幸運的是,新的同步功能是完全可選的;您仍然可以像往常一樣使用該應用程序,僅將您的秘密存儲在您的設備上。根據安全問題報告,Google 的 Christiaan Brand 解釋了公司選擇省略端到端加密的原因,指出這是“以讓用戶無法恢復自己的數據為代價的”。他補充說,E2E 即將“下線”用於 Google Authenticator,屆時您大概可以安全地使用它。最好在這種情況發生之前避免使用它,或者考慮使用替代應用程序來處理您的 2FA 代碼。
放棄 Google 身份驗證器並使用 iCloud 鑰匙串
由於 Google 自然推出了自己的 Google 身份驗證器應用程序,因此許多 Gmail 用戶開始相信這是他們訪問所需的應用程序他們的 Google 帳戶和其他使用 2FA 的服務。
然而,事實並非如此。當然,Google Authenticator 處理得很好,而且它已經存在了很長時間,它已經成為 2FA 憑證的事實標準。然而,從長遠來看,這並不是鎮上唯一的遊戲。
事實上,如果您使用的是 iOS 15 和/或 macOS Monterey 或更高版本,您可以完全放棄 Google Authenticator 並切換到 iCloud Keychain,它從一開始就包含強大的端到端加密在 2013 年的 iOS 7 和 OS X Mavericks 中。
雖然 iCloud 鑰匙串多年來一直能夠安全地存儲密碼,但處理雙因素身份驗證代碼的能力只出現在 iOS 15 和其他隨附的 iPadOS 中和 macOS 版本。然而,現在它可以完全替代 Google Authenticator,特別是因為它已經在登錄到您的 iCloud 帳戶的每台 iPhone、iPad 和 Mac 上同步所有這些信息,並且可以在 Safari 中為您自動填充這些代碼。 Apple 也為其提供了 Windows 應用程序。
像 1Password 這樣的第三方密碼管理器也長期支持存儲 2FA 代碼,具有相同的自動填充功能,所以如果 iCloud Keychain 不適合你,你可以隨時求助於其中一個那些。
但是,將您的密碼和 2FA 代碼存儲在同一個應用程序中可以將所有雞蛋放在一個籃子裡,這是一個有效的論點。該應用程序的安全漏洞將為黑客提供破壞您帳戶所需的一切手段。如果您對此感到擔憂,那麼可以使用各種獨立的 2FA 應用程序,例如 Authy、OTP 驗證,和 TOTP 完成工作。有些甚至提供 Apple Watch 應用程序以快速從您的手腕獲取您的 2FA 代碼。這是 Google 身份驗證器不會為您做的事情。
請記住,如果它與密碼管理器安裝在同一部 iPhone 上,則使用單獨的 2FA 應用程序並不能真正提高安全性,除非您使用不同的密碼保護它並且它支持本地加密您的 OTP 數據。否則,任何拿到你的 iPhone 並可以解鎖它的人都可以比進入 1Password 等更安全的密碼管理器更容易地從單獨的應用程序中提取你的 2FA 代碼。
