Google新发布基于云的Authentication应用被指并未实施端到端加密
据软件公司Mysk称,本周早些时候更新的Google Authenticator应用,允许用户通过其Google账户进行基于云的双因素认证(2FA),但它本身却并不是端到端加密的。
"我们分析了应用程序同步秘密时的网络流量,结果发现流量不是端对端加密的,"Mysk通过Twitter说,正如Gizmodo周三早些时候所报道的。"如截图所示,这意味着Google可以看到这些秘密,甚至可能在它们存储在他们的服务器上的时候。没有选项可以添加口令来保护秘密。"
秘密是网络安全的行话,指用于解锁受保护或敏感信息的私人信息,因此,Mysk的安全研究人员建议人们不要开启跨设备和云端同步2FA密码的功能。
2FA功能允许用户在手机丢失或被盗的情况下仍然可以访问代码。这意味着Gmail、银行应用程序或其他大量允许2FA的服务仍然可以通过Google账户访问代码,即使原始设备不能立即使用。不幸的是,启用该功能缺乏同样的加密水平--至少目前是这样。
"端对端加密(E2EE)是一个强大的功能,它提供了额外的保护,但代价是使用户被锁定在自己的数据之外而无法恢复,"一位Google发言人通过电子邮件回应。"为了确保我们为用户提供一整套选择,我们也开始在我们的一些产品中推出可选的E2EE,我们计划在未来为Google Authenticator提供E2EE。"
Google表示,它以这种初始方式提供该功能是为了方便。
2FA在你的密码之上提供了一个额外的安全层。通过Authenticator应用程序生成的额外代码可以防止不良分子仅凭密码登录你的账户。然而,对于大科技公司来说,密码最终是一种脆弱和无效的保持账户安全的方式。
Google、苹果和微软已经联合成立了FIDO联盟,即"在线快速身份认证"的简称。其目标是让网站放弃密码,改用生物识别登录。这可以包括指纹扫描或面部扫描。它也可以包括电话验证。将网站转向"无密码的未来"需要时间,在此之前,2FA仍将是保持账户安全的重要方式。