谷歌将为Google Authenticator加入端到端加密

   日期:2024-12-27    作者:0omy6 移动:http://3jjewl.riyuangf.com/mobile/quote/70966.html

谷歌将为Google Authenticator加入端到端加密。

Google Authenticator(身份验证器)是谷歌推出的基于时间的一次性密码(Time-based One-time Password),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。Google Authenticator是一款非常主流的身份认证应用,下载量超过1亿。

4月25日,Google Authenticator完成了将2FA token(双因子验证口令)备份到云端的功能。该功能允许用户将Google Authenticator 2FA tokens与谷歌账户进行同步,用户可以通过多种设备来访问2FA token,如果移动设备丢失或受到破坏仍然可以起到备份作用。

Google Authenticator云同步功能发布后,来自Mysk的安全研究人员在推特指出数据在上传到谷歌服务器时未进行端到端加密。研究人员分析了APP同步过程中的网络流量,发现流量并不是端到端加密的。也就是说谷歌是可以看到同步的信息的。目前尚未实现只有上传的用户才能够访问这些信息。

图 Mysk推文

端到端加密(E2EE)是数据在传输和存储到另一个设备之前使用只有用户(所有者)知道的密码对其进行加密。因为数据是加密的,因此无法被其他人访问。但Google Authenticator不提供端到端加密,保存在谷歌服务器上的数据是有可能被其他非授权的用户访问的,比如数据泄露。

每个2FA二维码中包含一个秘密或seed,用于生成一次性口令。如果其他用户知道了seed,那么就可以生成相同的一次性口令,以绕过2FA的保护。

谷歌了解到用户对Google Authenticator中未使用端到端加密的担忧后,表示将在之后的版本中加入端到端加密。谷歌称考虑到端到端加密可能会导致用户在忘记口令后导致其数据不能被访问,因此其在产品中使用该功能非常慎重。目前,谷歌已在Chrome浏览器中引入了端到端加密,未来计划在Google Authenticator中引入端到端加密。

参考及来源:https://www.bleepingcomputer.com/news/google/google-authenticator-now-backs-up-your-2fa-codes-to-the-cloud/


特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。


举报收藏 0评论 0
0相关评论
相关最新动态
推荐最新动态
点击排行
{
网站首页  |  关于我们  |  联系方式  |  使用协议  |  隐私政策  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  鄂ICP备2020018471号