昨天蓝点网提到发布 13 年后谷歌身份验证器 (Google Authenticator) 终于支持云端同步功能,支持云端同步功能后用户绑定的所有 TOTP / 2FA 信息都会保存在谷歌账户里,这样既可以跨平台同步,也可以在手机丢失的情况下快速恢复数据。
然而谷歌身份验证器目前并不支持端到端加密 (E2EE) 功能,也就是说如果用户启用同步功能,则谷歌可以查看用户绑定的 TOTP /2FA 信息,因此这属于一个潜在的安全弱点。
对于为何不支持 E2EE 谷歌也有自己的说法,谷歌工程师表示:
新增的云端同步功能目标是提供保护用户的功能,同时又要实用且方便,我们知道 E2EE 是一项可以提供额外保护的强大功能,但其缺点是如果用户忘记或丢失他们的谷歌账户密码,那用户自己也无法恢复数据。
简单来说谷歌认为一旦加密后如果用户账户出现问题无法登录,那么谷歌也没办法帮助用户解密数据。这个理由多少有些牵强了,毕竟现在主流密码管理器、浏览器自带的密码管理都需要设置主密钥,一旦主密钥丢失确实没法恢复数据,但这个问题不应该是谷歌不支持 E2EE 的理由。
当然谷歌也承诺既然用户有需要那后面会提供 E2EE 支持,届时启用 E2EE 加密后,除了用户自己没人能够查看用户的验证信息,包括谷歌。
另外谷歌也提醒如果用户担忧隐私问题,那可以考虑不启用同步功能,此功能并非默认开启,理论上说只有完全离线的才是最安全的,否则如果用户谷歌账号被黑客入侵,那所有验证信息同样会被泄露。
版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。