谷歌日前承认其谷歌认证器(Google Authenticator)并不支持端到端加密的云端同步功能,这也意味着用户的两步验证(2FA)令牌可能暴露给谷歌。该消息令许多用户感到惊讶和担忧。
据悉,若用户启用了谷歌认证器的云同步功能,用户的2FA令牌将被加密后上传到云端,以便在其他设备上自动同步。然而,这一设计缺陷在于,谷歌可以解密这些数据,从而获得用户的个人身份信息和2FA令牌信息。此外,如果攻击者入侵谷歌的服务器,他们也可以轻易地获取到这些加密数据。
由于谷歌认证器是最受欢迎的2FA应用之一,目前已有数百万用户使用该应用来保护他们的账户。然而,该缺陷意味着始终存在潜在的数据泄露风险,用户必须对此保持警惕,并谨慎使用谷歌认证器的云同步功能。
对于此次争议,谷歌表示,他们已经采取了一些措施来缓解风险,比如使用最新的加密技术来保护上传的数据。但不管如何,我们依然建议用户使用更安全的2FA方案,比如安全密钥或基于物理设备的2FA。
了解更多有趣的事情:https://blog.ds3783.com/