您知道之前 Google 身份驗證器並不安全嗎?這可能很難接受,但這是事實。谷歌現在計劃為谷歌身份驗證器添加端到端加密。幾天前,安全研究人員批評該公司沒有為其高級工具添加高級別的安全性。
作為對批評的回應,該公司正在向 Google Authenticator 推出帳戶同步功能。谷歌產品經理 Christiaan Bran 在他的 Twitter 賬戶上寫道,該公司計劃在未來提供 E2EE。 Brand 先生寫道,
“就目前而言,我們相信我們當前的產品為大多數用戶取得了適當的平衡,並且與離線使用相比具有顯著優勢。然而,對於那些喜歡管理自己的備份策略的人來說,離線使用該應用程序的選項仍然是一個選擇。
Google Authenticator 將獲得端到端身份驗證……
得知 Google Authenticator 沒有可靠的安全功能,我感到很震驚。本週早些時候,該工具開始向其用戶展示雙因素身份驗證選項。使用此選項,用戶將能夠將雙因素身份驗證代碼與其 Google 帳戶同步。這將使用戶更容易在新設備上登錄他們的 Google 帳戶。
Gizchina 本週新聞
這是一個受歡迎的更改,但它可能會帶來一些安全問題。通過這一變化,黑客將能夠通過闖入一個用戶來訪問所有關聯的谷歌賬戶。可以肯定的是,如果該功能獲得 E2EE 支持,黑客甚至谷歌將無法看到用戶的信息。安全研究員 Mysk 在 Twitter 上指出了這些風險。他們說:
“如果發生數據洩露或有人可以訪問您的 Google 帳戶,您的所有 2FA 機密都將被洩露。”
根據研究人員的說法,Google 將能夠訪問用戶信息以在沒有 E2EE 的情況下顯示個性化廣告。他們建議用戶在 Google 添加 E2EE 支持之前不要使用此功能。反過來,Brand 回擊了批評者並說,
“雖然 Google 在我們所有產品(包括 Google Authenticator)中對傳輸中和靜態數據進行加密,但應用 E2EE 的代價是將用戶拒之門外他們自己的數據沒有恢復。
目前,我們不確定 Google 何時將 E2EE 功能添加到 Google 身份驗證器。然而,用戶可以選擇在沒有 E2EE 的情況下啟用此功能,或者他們可以離線繼續使用此功能。
來源/威盛: