Google 身份驗證器現在允許您同步您的 2FA(雙因素身份驗證)與您的 Google 帳戶。這樣,您可以在手機不可用時使用您的 Google 帳戶登錄應用程序。但是,安全研究人員說此功能可能會給用戶的安全帶來風險。
Google Authenticator 是最流行的設置雙因素身份驗證和接收代碼的應用程序之一。該應用程序免費、可靠且受 Google 支持。在最近的一次更新中,谷歌解決了用戶最關心的問題之一,允許用戶將 Authenticator 應用與其穀歌賬戶同步。
該公司表示,該功能將使“一次性代碼通過存儲更持久它們安全地保存在用戶的 Google 帳戶中。” 2FA 代碼將安全地備份在 Google 帳戶中。當您丟失手機或想要設置新設備時,可以輕鬆訪問它們。
當然,Google 仍然允許您使用 Authenticator 應用程序而無需將其與您的 Google 帳戶同步。此外,該應用程序有一個新的圖標和設計調整,以提供更好的用戶體驗。
安全研究人員警告有關將 Google Authenticator 應用程序與 Google 帳戶同步
雖然該功能可以為用戶,軟件公司 Mysk 的安全研究人員表示,Authenticator 應用程序中的流量未進行端到端加密。這意味著第三方(例如 Google 員工)可以看到您用於登錄帳戶的 2FA 代碼。如果網絡犯罪分子可以訪問您的 Google 帳戶,情況可能會變得更糟。
Mysk 研究人員進一步補充說,2FA 代碼包含帳戶和服務名稱等其他信息。谷歌可以使用這些數據來個性化廣告。當然,研究人員表示,“谷歌數據導出不包括存儲在用戶谷歌賬戶中的 2FA 秘密。我們下載了與我們使用的 Google 帳戶相關的所有數據,但沒有發現 2FA 秘密的痕跡。”
Google 的身份和安全產品經理回應 Mysk 研究人員時 Christiaan Brand 指出,他們對所有產品中的數據進行加密,包括 Authenticator 應用程序。然而,他說 E2EE [端到端加密] 可能會讓用戶無法訪問自己的數據而無法恢復。這就是谷歌開始為其部分產品推出可選 E2EE 的原因。身份驗證器也將很快獲得該功能。
“目前,我們相信我們當前的產品為大多數用戶取得了適當的平衡,並提供了超過離線使用的顯著優勢。”品牌補充。 “但是,對於那些喜歡自己管理備份策略的人來說,離線使用該應用程序的選項仍然是一種選擇。”
