用來提供雙重驗證(2FA)的 Google Authenticator 近年來廣受歡迎,但當用戶手機故障或遺失時,往往會面臨無法登入的困境,如今 Google 宣布推出 Google Authenticator 的帳戶雲端備份功能,但仍潛藏巨大風險。
(前情提要:安卓惡意軟體GodFather「盜取2FA驗證碼」,逾200種加密錢包遭攻擊)
(背景補充:Google全球大當機!比特幣節點運作正常,但「2FA」卻讓交易員資金被鎖定了)
科技巨擘 Google 在 24 日發布公告,宣布在 iOS 和 Android 版本推出 Google Authenticator 的更新,現在可以將 Authenticator 的一次性驗證碼 (OTP)同步至用戶的 Google 帳戶和所有裝置,這意味著即使遺失手機,用戶仍可隨時存取這些驗證碼。
更新版本的 Google Authenticator app 還提供全新圖示和插圖,使風格煥然一新,並更加容易理解,此外,更新版本 app 還改善了使用者體驗和視覺效果,將 app 設計得更容易使用,使介面和視覺效果變得更好看。
公告指出,Google 在 2010 年推出 Google Authenticator ,提供雙重驗證(2FA)機制,以強化線上帳戶的安全性,不過多年以來,對用戶來說較不方便的是,由於驗證碼只存儲在個別設備上,一旦設備丟失,就代表用戶喪失登入服務的能力。
通過這次更新,Google 推出一個旨在解決上述問題的方案,藉由將驗證碼安全地儲存在用戶的 Google 帳戶中,使驗證碼使用能更加持久,Google 表示,這一變革意味著用戶可更好地防止服務被鎖定,用戶能保留訪問權限,從而提高便利性和安全性。
除了 Google Authenticator 之外,Google 長期以來還一直在推動網路安全認證的多種選擇,Google Password Manager 能安全保存用戶密碼,協助用戶更快登入服務,Google 也與商業夥伴和 FIDO 聯盟合作,以 Passkey 的形式為用戶提供更加方便、安全的認證服務。
信箱權限丟失下場恐更糟
不過慢霧科技資安長 23pds 發推提醒,如果用戶使用新的備份方式,風險就會轉移到信箱,一旦信箱權限丟失,可能導致 2FA 驗證碼一併被竊取,再配合已獲取的信箱權限,將帶來巨大風險,例如交易所資產被竊等,建議可把 Gmail 的 2FA、設備認證都開啟:
便捷的同時可能存在風險, 加密用戶請注意使用風險。
1/Google身份验证器 iOS 端推出4.0版本,支持云同步功能,用户可将验证器生成的验证码同步至所有Google 账号和设备,丢失设备也可随时获取验证码。
⚠️注意存在的风险:如果你使用这种备份方式,风险就转移到邮箱,一旦邮箱权限丢失可能导致2FA验证码一并被窃取,在配合已获取的邮箱权限,将带来巨大风险。 pic.twitter.com/IScrk5fg2K— 23pds (山哥) (@im23pds) April 25, 2023
📍相關報導📍
Telegram「截圖釣魚」詐騙肆虐!如何設定2FA雙重驗證、被盜怎麼辦?