DaveC
@davecode
Fri, Apr 28, 2023 8:06 AM
Sun, Apr 30, 2023 4:40 AM
8
6
Google Authenticator 新功能未採端到端加密,安全人員籲先別啟用
ref
Mysk 的安全研究人員分析 Google Authenticator 同步時的網路流量,發現並沒有進行端到端加密,這意味著 Google 能夠看到屬於用戶個人的秘密資訊,甚至可能存在伺服器上,同時這款 App 也沒有提供密碼功能加以保護這些秘密資訊,存在使用風險。
每個雙重驗證的 QRcode 包含密鑰,能夠產生一次性驗證碼。如果他人知道密鑰,也能產生相同的一次性驗證碼,雙重驗證就失去了保護作用。萬一發生資料外洩或有人不法取得你的 Google 帳號權限,雙重驗證的密鑰也會洩漏。
......
+
@davecode - Authy 表示...... Google Authenticator 裝過就移...
DaveC
@davecode
說
Fri, Apr 28, 2023 8:07 AM
對此 Google 回應,E2EE 是一項提供額外保護的強大功能,強調包括 Google Authenticator 在內的產品,資料傳輸或靜態儲存上有加密。Google 已經計劃為 Google Authenticator 導入 E2EE,但未透露具體時程。
載入新的回覆
Mysk 的安全研究人員分析 Google Authenticator 同步時的網路流量,發現並沒有進行端到端加密,這意味著 Google 能夠看到屬於用戶個人的秘密資訊,甚至可能存在伺服器上,同時這款 App 也沒有提供密碼功能加以保護這些秘密資訊,存在使用風險。
每個雙重驗證的 QRcode 包含密鑰,能夠產生一次性驗證碼。如果他人知道密鑰,也能產生相同的一次性驗證碼,雙重驗證就失去了保護作用。萬一發生資料外洩或有人不法取得你的 Google 帳號權限,雙重驗證的密鑰也會洩漏。
......
+