Google Authenticator 是個頗為普及的多重認證工具,最近 Google 為它推出久違的更新,加入了雲端備份功能,不過有安全專家就表示,這個功能並未進行點對點加密,有機會造成安全風險。
今次 Google 推出的更新容許用家將 Google Authenticator 連接到自己的 Google 帳戶,把已經登記多重認證的服務同步至雲端,就算更換裝置都不需要重新加入,是個相當方便的功能。不過有安全專家就提醒,目前這個功能未支援點對點加密,意味着從手機到 Google 伺服器之間的連線如果被攔截,或者 Google 帳號被盜,都會令相關多重認證設定外洩。
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Google 方面就解釋,他們這樣設計是希望保持一定的方便性,因為如果實施一般的點對點加密,用戶忘記主密碼的話就無法恢復資料,不過他們未來也會研究其他的點對點加密技術。如果在這方面有擔憂的朋友,可以關閉雲端同步功能,或者改用其他的多重認證工具。
(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023
來源:Twitter, 電腦王阿達