文/李建興 | 2023-04-28發表
Mysk資安研究人員提醒Google Authenticator使用者,先別急著啟用新加入的帳號同步功能,因為Google並未在同步中使用端到端加密,用戶的雙因素驗證二維碼可能有洩漏風險,而Google則回應,之後計畫添加端到端加密功能,確保雙因素驗證秘密資訊同步的安全性。
Google在身分驗證應用程式Authenticator新添加同步功能,供使用者將該程式用於產生一次性驗證碼的雙因素驗證二維碼備份到Google帳號中,方便用戶在更換裝置時,依然能夠重新安裝Authenticator,並且繼續用於登入受Authenticator雙因素驗證保護的帳號。
雖然這項功能很方便,但是也存在安全風險,Mysk公司的資安研究人員提到,他們分析應用程式同步秘密時的流量,發現該流量並沒有經端到端加密。Google沒有提供密碼保護Authenticator秘密資訊只能由用戶存取,也就是說,Google或是第三者能夠看到使用者的秘密資訊。
由於雙因素驗證二維碼可用於生成用戶專屬的一次性驗證碼,當有其他人知道這個秘密,就能夠用來生成相同的一次性驗證碼,破壞雙因素驗證的保護,所以只要發生資料洩漏,或是惡意人士非法存取使用者的Google帳戶,雙因素驗證的秘密資訊便會洩漏。
不只如此,因為雙因素驗證的二維碼通常包含帳戶名稱和服務名稱,因此Google可以透過分析這些資料,知道使用者所使用的線上服務,並且可能將這些資訊用於個人化廣告。
Google身分與安全產品經理Christiaan Brand則在推特上回應,雖然端到端加密能夠提供強大的保護,但是缺點是在部分情況下,用戶可能無法恢復遭到鎖定的資料,他表示,對大多數使用者來說,目前Authenticator的功能在安全和方便性取得平衡,但是他們也計畫會在Authenticator提供端到端加密功能,對於更注重安性的人,他建議可以先使用離線模式。
網頁設計.RWD響應式網站.行動版網站 / 美容保養類
網站技術:PHP . Javascript/MySql
網頁設計.RWD響應式網站.企業形象網站 / 醫療衛生類
網站技術:Javascript
專營牙醫診所設備銷售與服務,透過一頁式網站簡單且快速的呈現所有資訊。
網頁設計.RWD響應式網站.活動網站 / 電子科技類
網站技術:PHP . Javascript/MySql
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
一式多用的網頁,可隨著網頁內容需求的不同,動態調整網頁呈現的資料,包含影片、表單、輪播效果等,企業自行發佈新活動。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策