(資料圖)

谷歌將為 Google Authenticator 加入端到端加密。

Google Authenticator（身份驗證器）是谷歌推出的基于時間的一次性密碼 ( Time-based One-time Password ) ，只需要在手機上安裝該 APP，就可以生成一個隨著時間變化的一次性密碼，用于帳戶驗證。Google Authenticator 是一款非常主流的身份認證應(yīng)用，下載量超過 1 億。

2FA token 云端備份

4 月 25 日，Google Authenticator 完成了將 2FA token（雙因子驗證口令）備份到云端的功能。該功能允許用戶將 Google Authenticator 2FA tokens 與谷歌賬戶進行同步，用戶可以通過多種設(shè)備來訪問 2FA token，如果移動設(shè)備丟失或受到破壞仍然可以起到備份作用。

Google Authenticator 云同步功能發(fā)布后，來自 Mysk 的安全研究人員在推特指出數(shù)據(jù)在上傳到谷歌服務(wù)器時未進行端到端加密。研究人員分析了 APP 同步過程中的網(wǎng)絡(luò)流量，發(fā)現(xiàn)流量并不是端到端加密的。也就是說谷歌是可以看到同步的信息的。目前尚未實現(xiàn)只有上傳的用戶才能夠訪問這些信息。

端到端加密（E2EE）是數(shù)據(jù)在傳輸和存儲到另一個設(shè)備之前使用只有用戶（所有者）知道的密碼對其進行加密。因為數(shù)據(jù)是加密的，因此無法被其他人訪問。但 Google Authenticator 不提供端到端加密，保存在谷歌服務(wù)器上的數(shù)據(jù)是有可能被其他非授權(quán)的用戶訪問的，比如數(shù)據(jù)泄露。

每個 2FA 二維碼中包含一個秘密或 seed，用于生成一次性口令。如果其他用戶知道了 seed，那么就可以生成相同的一次性口令，以繞過 2FA 的保護。

谷歌將引入 E2EE

谷歌了解到用戶對 Google Authenticator 中未使用端到端加密的擔(dān)憂后，表示將在之后的版本中加入端到端加密。谷歌稱考慮到端到端加密可能會導(dǎo)致用戶在忘記口令后導(dǎo)致其數(shù)據(jù)不能被訪問，因此其在產(chǎn)品中使用該功能非常慎重。目前，谷歌已在 Chrome 瀏覽器中引入了端到端加密，未來計劃在 Google Authenticator 中引入端到端加密。

關(guān)鍵詞：