對於有在用 Google Authenticator 2FA 兩階段認證 OTP 的人,看到 Google 終於提供雲端備份功能,一定覺得很開心,啟用備份後就不用再擔心設備遺失的情況,未來可以很輕鬆恢復。壞消息是,目前這個雲端備份似乎加密還做的不是很好,根據國外研究人員的報告,現在這功能尚未支援點對點加密,意味著如果你的 Google 帳號被盜,那很可能 Google Authenticator 產生的一次性密碼也會被竊取,建議大家現階段先不要使用。
Google Authenticator 雲端備份建議先不要用,國外研究人員發現目前還沒有點對點加密,有外洩可能性
幾天前 Google 終於更新許久沒新版本的 Google Authenticator,並加入實用的雲端備份,這是很多用戶敲碗想要的功能,雖然很讓人開心,但稍早國外安全研究人員 Mysk 在 Twitter 上發出警告,表示「Google Authenticator 現在還不支援點對點加密(E2EE)」,意味著你的 2FA 沒有加密:
https://twitter.com/mysk_co/status/1651021165727477763
Mysk 表示:「每一個 2FA QR code 都包含秘密或種子,用來產生一次性代碼,如果有人知道這秘密,代表他們可以產生相同的一次性代碼,從而破壞 2FA 保護。因此,當數據發生洩漏,或是有人竊取你的 Google 帳號,那麼你的所有 2FA 秘密都會受到威脅」
簡單來說,就是 Google 目前使用的方法是同步過程中,Google 持有加密密鑰,進而有能力加密和解密你的數據,就能看到未加密的資訊。
現在很多第三方 Authentication App 都支援點對點加密,可以保護傳輸中的數據不會被竊取或或惡意修改,確保只有發送端和接收端可以訪問內容。
為此 Google 也承認確實 Google Authenticator 沒有提供點對點加密技術,但這是故意的,因為點對點加密雖然提供額外保護,但如果用戶遺失主密碼也會鎖住資料,而 Google 帳號同步功能的主旨是在保護安全和隱私的前提下,也不失方便性:
https://twitter.com/christiaanbrand/status/1651279598309744640
Authenticator App 的產品經理 Christiaan Brand 也承諾,未來還是會有某種點對點加密技術,導入到 Google Authenticator,只是時間點還不知道。
所以為了確保你的 2FA 安全性,建議還是先不要使用雲端備份功能,繼續沿用舊的方式,直到 Google Authenticator 下次更新會比較安全,又或是改用其他 Authenticator App。
至於已經啟用的人,打開右上角選單,點擊「在未登入帳戶的情況下使用….」就可以關閉:
