Google双重验证程序前阵子推出云端备份服务,让过去更换手机或遗失装置变得复杂的程序变得更加便利,不过有许多专家相继指出若想保护资安,先暂时别备份。
Google双重验证推云端同步,引爆资安疑虑
双重验证(2FA)应用程序Google Authenticator于4月份宣布推出云端同步功能,希望借此改善过去不支援备份和多设备使用所带来的不便,让用户在换手机或遗失手机后转移帐户时不会遇到太多的困难。
尽管这项新功能确实便民许多,但却也可能让帐户暴露于外泄风险中,因为装置和云端间的通讯并未加密,这个漏洞可能被有心人士窥探和利用。
双重验证是许多人为了保障帐号安全而采取的登入措施,在输入一般设定的密码之后,需要从Authenticator APP中接收随机代码并输入,才完成登入流程。
目前为止,使用最广泛的双重验证服务应该非Google Authenticator莫属,特别是若有进行加密货币交易的人,必定对其不陌生,因为使用双重验证得以保护他们的交易帐户免受骇客攻击。
Google Authenticator自2010年推出后,多年来因为不支援备份和多设备使用,在更换使用装置时手续较为复杂,若没有转移好或遗失手机时,就无法继续原本设定的帐号,相关网站的登入方式也将遭到锁定。
因此,Google在4月下旬宣布Authenticator在Android 6.0和iOS 4.0以上的系统,将开始支援将帐号资讯备份至Google帐户,若开启备份功能后,用户就能随时在任何装置使用和管理自己的双重验证代码。
云端备份存潜在资安风险,安全性与便利性须取得平衡
不过Google Authenticator的备份并非使用端到端加密(E2EE),意指并非参与通讯的使用者装置可以读取讯息,像是网络服务提供商、Google等潜在资料使用者都可能有能力看到相关资讯。
区块链资安公司SlowMist指出,假如使用此种备份方式,当电子邮件权限遭窃,双重验证码将会连带被盗取,所带来的风险也相当巨大。
因此许多专家建议先不要开启备份,即使备份让转移装置时变得更方便,但这样的便利是以牺牲自己的隐私为代价的。
资安研究帐号Mysk提供更详细解释,每个双重验证的QRCode都包含一个用于生成一次性代码的秘密或种子,如果其他人知道了这个秘密后,将可以生成与您装置上相同的一次性代码,同时打击双重验证所设下的保护。因此,假如有他人取得Google帐户的访问权限,所有在Google Authenticator中保管的双重验证资讯都会被泄露。
Google的身分安全产品经理克里斯蒂安‧布伦德在推特上,针对Google Authenticator进行相关说明。图/ Twitter @christiaanbrand
针对备份服务的加密问题,Google的身分安全产品经理克里斯蒂安‧布伦德(Christiaan Brand)在一则推文中承认了其中的隐私风险,说Google认为目前该公司的产品为大多数用户在安全性与可用便利性间取得了适当的平衡,并提供了比离线使用更显著的优势,也表示Google计划在未来推出Google Authenticator的端到端加密功能。
本文链接地址:https://www.wwsww.cn/jzb/18666.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。