苏北网
当前位置:首页>快讯 >

Google新发布基于云的Authentication应用被指并未实施端到端加密

时间 2023-04-28 10:37:04 来源:cnBeta  

据软件公司Mysk称,本周早些时候更新的Google Authenticator应用,允许用户通过其Google账户进行基于云的双因素认证(2FA),但它本身却并不是端到端加密的。

"我们分析了应用程序同步秘密时的网络流量,结果发现流量不是端对端加密的,"Mysk通过Twitter说,正如Gizmodo周三早些时候所报道的。"如截图所示,这意味着Google可以看到这些秘密,甚至可能在它们存储在他们的服务器上的时候。没有选项可以添加口令来保护秘密。"

秘密是网络安全的行话,指用于解锁受保护或敏感信息的私人信息,因此,Mysk的安全研究人员建议人们不要开启跨设备和云端同步2FA密码的功能。

2FA功能允许用户在手机丢失或被盗的情况下仍然可以访问代码。这意味着Gmail、银行应用程序或其他大量允许2FA的服务仍然可以通过Google账户访问代码,即使原始设备不能立即使用。不幸的是,启用该功能缺乏同样的加密水--至少目前是这样。

"端对端加密(E2EE)是一个强大的功能,它提供了额外的保护,但代价是使用户被锁定在自己的数据之外而无法恢复,"一位Google发言人通过电子邮件回应。"为了确保我们为用户提供一整套选择,我们也开始在我们的一些产品中推出可选的E2EE,我们计划在未来为Google Authenticator提供E2EE。"

Google表示,它以这种初始方式提供该功能是为了方便。

2FA在你的密码之上提供了一个额外的安全层。通过Authenticator应用程序生成的额外代码可以防止不良分子仅凭密码登录你的账户。然而,对于大科技公司来说,密码最终是一种脆弱和无效的保持账户安全的方式。

Google、苹果和微软已经联合成立了FIDO联盟,即"在线快速身份认证"的简称。其目标是让网站放弃密码,改用生物识别登录。这可以包括指纹扫描或面部扫描。它也可以包括电话验证。将网站转向"无密码的未来"需要时间,在此之前,2FA仍将是保持账户安全的重要方式。

标签: 谷歌公司 谷歌云系统 双因素认证

相关阅读RELEVANT

  • 版权及免责声明:

内容搜集整理于网络,不代表本站同意文章中的说法或者描述。文中陈述文字和内容未经本站证实,其全部或者部分内容、文字的真实性、完整性、及时性本站不做任何保证或者承诺,并且本站对内容资料不承担任何法律责任,请读者自行甄别。如因文章内容、版权和其他问题侵犯了您的合法权益请联系邮箱:5 146 761 13 @qq.com 进行删除处理,谢谢合作!