4月24日消息,据谷歌安全博客消息,谷歌更新了支持Android与iOS的两步身份验证程序Google Authenticator,允许用户将该程序所产生的一次性密码备份到谷歌帐号中,以免在手机遭窃或遗失之际,无法再登入基于Google Authenticator的网站或服务。
谷歌是在2010年推出Google Authenticator,可安装于Android或iOS手机上,当用户造访支持Google Authenticator的服务或网站时,这些程序/网站可运算并要求用户输入一个6~8位数的一次性密码,作为寻常密码之外的第二阶段验证因素,设备上的Google Authenticator便会运算并显示该密码,供用户输入以验证身份。
过去这些一次性密码仅存放于用户设备上的Google Authenticator中,因此,一旦设备遗失或遭窃,用户便难以再登录相关服务。
本周的更新即是让用户可将这些一次性密码存放于谷歌账号中,以于所有登录谷歌帐号的设备上使用,举凡是支持Android的Google Authenticator 6.0或是支持iOS的Google Authenticator 4.0都具备此一新功能。 用户只需于Google Authenticator中登入谷歌帐号,即可自动于谷歌帐号中备份一次性密码。
Google Authenticator(身份验证器)是谷歌推出的基于时间的一次性密码 ( Time-based One-time Password ) ,只需要在手机上安装该 APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。Google Authenticator 是一款非常主流的身份认证应用,下载量超过 1 亿。
Google Authenticator 云同步功能发布后,来自 Mysk 的安全研究人员在推特指出数据在上传到谷歌服务器时未进行端到端加密。研究人员分析了 APP 同步过程中的网络流量,发现流量并不是端到端加密的。也就是说谷歌是可以看到同步的信息的。目前尚未实现只有上传的用户才能够访问这些信息。
端到端加密(E2EE)是数据在传输和存储到另一个设备之前使用只有用户(所有者)知道的密码对其进行加密。因为数据是加密的,因此无法被其他人访问。但 Google Authenticator 不提供端到端加密,保存在谷歌服务器上的数据是有可能被其他非授权的用户访问的,比如数据泄露。
谷歌随后向 CNET 发送了一份声明如下:
端到端加密 (E2EE) 是一项强大的功能,可提供额外的保护,但代价是用户开启后无法恢复自己的数据。
我们后续将会根据用户需求提供相应的选项,为 Google Authenticator 提供 E2EE 支持。
友情提醒:更新前请注意备份,我更新Google Authenticator新版本后,登录了一下自己的Google账号,发现登录后本地的几个验证器全部消失,找不到了,最后不得不一个一个地恢复各个本地验证器。