谷歌身份验证器的云端同步功能没有端到端加密
周一,Google Authenticator 推出了将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE),谷歌今天解释了原因。
Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评,因此从理论上讲,Google 可以获取并复制您的 2FA 代码。
那些非常注重安全并且不相信谷歌(或恶意第三方)不会访问用户数据的人希望通过使用只有他们知道的另一个密钥(或密码)对代码进行端到端加密,让除了他们之外没有人可以访问 2FA 代码。
谷歌今天解释说,Authenticator 的新同步功能的目标是“提供保护用户的功能,但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”,缺点是如果用户忘记或丢失了他们的 Google 帐户密码(或额外的安全层),他们可能“无法恢复自己的数据”。
谷歌“计划为谷歌身份验证器提供 E2EE。” 同时,它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。
—— 9TO5google