Google 花了 13 年的時間才為 Google Authenticator 添加了一項新功能。由於 2FA 同步功能,用戶現在可以將他們的 2FA 代碼序列備份到雲端,並將它們恢復到新設備。我們猜想沒有人會質疑這項新功能的便利性,但存在一些安全問題。
Google 的 2FA 同步是否將您的隱私置於危險之中?
不久前,Sophos 的 Naked Security 的一些學者 和 Mysk 的 iOS 開發人員分享了他們在這方面的想法。他們表示,用戶的 2FA 信息“在谷歌的 HTTPS 網絡數據包中未加密”。即使您的 2FA 信息在您提交時是保密的,但在未加密的情況下將其交付到目的地時也會出現問題。這使 Google 和其他人可以訪問您的信息。這包括任何擁有搜查令的人,這可能會危及用戶的數據。
此外,用戶無法在上傳離開設備之前使用密碼對其進行加密。因此,不良行為者可以毫不費力地攔截和訪問數據。鑑於這些安全問題,Mysk 建議暫時不要使用新的同步功能。
我們相信谷歌將來會解決這個問題。但目前,缺乏上傳加密是一個重大的安全漏洞,谷歌現在應該著手解決。因此,我們建議讀者謹慎使用新的同步功能,並探索替代的 2FA 方法,直到安全問題得到解決。
Gizchina 本週新聞
最終,新的 Google 身份驗證器功能是使 2FA 對用戶更方便的一步。但是不應忽視與此功能相關的安全問題。作為用戶,我們需要對數據的安全保持警惕,並採取必要的措施來保護數據。
總的來說,用戶隱私是當今最大的問題之一。你不能說出沒有處理過它的公司的名字。因此,谷歌既不是最後一家也不是唯一一家面臨這些問題的公司。
谷歌剛剛更新了其 2FA Authenticator 應用程序並添加了一項急需的功能:跨設備同步機密的能力。
TL;DR:不要打開它。
新的更新允許用戶使用他們的 Google 帳戶登錄並在他們的 iOS 和 Android 設備上同步 2FA 秘密。…… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 2023 年 4 月 26 日
來源/VIA: