文/李建興 | 2023-04-28發表
Mysk資安研究人員提醒Google Authenticator使用者,先別急著啟用新加入的帳號同步功能,因為Google並未在同步中使用端到端加密,用戶的雙因素驗證二維碼可能有洩漏風險,而Google則回應,之後計畫添加端到端加密功能,確保雙因素驗證秘密資訊同步的安全性。
Google在身分驗證應用程式Authenticator新添加同步功能,供使用者將該程式用於產生一次性驗證碼的雙因素驗證二維碼備份到Google帳號中,方便用戶在更換裝置時,依然能夠重新安裝Authenticator,並且繼續用於登入受Authenticator雙因素驗證保護的帳號。
雖然這項功能很方便,但是也存在安全風險,Mysk公司的資安研究人員提到,他們分析應用程式同步秘密時的流量,發現該流量並沒有經端到端加密。Google沒有提供密碼保護Authenticator秘密資訊只能由用戶存取,也就是說,Google或是第三者能夠看到使用者的秘密資訊。
由於雙因素驗證二維碼可用於生成用戶專屬的一次性驗證碼,當有其他人知道這個秘密,就能夠用來生成相同的一次性驗證碼,破壞雙因素驗證的保護,所以只要發生資料洩漏,或是惡意人士非法存取使用者的Google帳戶,雙因素驗證的秘密資訊便會洩漏。
不只如此,因為雙因素驗證的二維碼通常包含帳戶名稱和服務名稱,因此Google可以透過分析這些資料,知道使用者所使用的線上服務,並且可能將這些資訊用於個人化廣告。
Google身分與安全產品經理Christiaan Brand則在推特上回應,雖然端到端加密能夠提供強大的保護,但是缺點是在部分情況下,用戶可能無法恢復遭到鎖定的資料,他表示,對大多數使用者來說,目前Authenticator的功能在安全和方便性取得平衡,但是他們也計畫會在Authenticator提供端到端加密功能,對於更注重安性的人,他建議可以先使用離線模式。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:PHP . Javascript/MySql
均豪專精於半導體、顯示器設備設計及製造,對於在社會回饋上也是相當重視,更體現了其對ESG和SDGs概念的關注,透過官網表達均豪對ESG永續發展的立場與積極的態度。
網頁設計.RWD響應式網站.活動網站 / 服務類
網站技術:PHP/MySql
配合振興劵而舉辦的抽獎活動,民眾可以透過「活動辦法」快速了解流程與獎品,點選「序號登錄」並確認抽獎資格後就可以等待開獎結果喔。 抽獎結束後若要確認是否有中獎,可以點擊選單的中獎名單來確認。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 教育人文類
網站技術:PHP . Javascript/MySql
A+ Teacher擁有國外前百大公私立大學的優良師資,線上面對面的教學方式,讓你可以實際和外籍教師互動,保證讓你愛上開口說英文。A+ Teacher有兩大特色,分別是立即上課與預約上課。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策