谷歌将爲Google Authenticator加入端到端加密

谷歌将爲 Google Authenticator 加入端到端加密。

Google Authenticator（身份驗證器）是谷歌推出的基于時間的一次性密碼 ( Time-based One-time Password ) ，隻需要在手機上安裝該 APP，就可以生成一個随着時間變化的一次性密碼，用于帳戶驗證。Google Authenticator 是一款非常主流的身份認證應用，下載量超過 1 億。

2FA token 雲端備份

4 月 25 日，Google Authenticator 完成了将 2FA token（雙因子驗證口令）備份到雲端的功能。該功能允許用戶将 Google Authenticator 2FA tokens 與谷歌賬戶進行同步，用戶可以通過多種設備來訪問 2FA token，如果移動設備丢失或受到破壞仍然可以起到備份作用。

無端到端加密

Google Authenticator 雲同步功能發布後，來自 Mysk 的安全研究人員在推特指出數據在上傳到谷歌服務器時未進行端到端加密。研究人員分析了 APP 同步過程中的網絡流量，發現流量并不是端到端加密的。也就是說谷歌是可以看到同步的信息的。目前尚未實現隻有上傳的用戶才能夠訪問這些信息。

圖 Mysk 推文

端到端加密（E2EE）是數據在傳輸和存儲到另一個設備之前使用隻有用戶（所有者）知道的密碼對其進行加密。因爲數據是加密的，因此無法被其他人訪問。但 Google Authenticator 不提供端到端加密，保存在谷歌服務器上的數據是有可能被其他非授權的用戶訪問的，比如數據洩露。

每個 2FA 二維碼中包含一個秘密或 seed，用于生成一次性口令。如果其他用戶知道了 seed，那麽就可以生成相同的一次性口令，以繞過 2FA 的保護。

谷歌将引入 E2EE

谷歌了解到用戶對 Google Authenticator 中未使用端到端加密的擔憂後，表示将在之後的版本中加入端到端加密。谷歌稱考慮到端到端加密可能會導緻用戶在忘記口令後導緻其數據不能被訪問，因此其在産品中使用該功能非常慎重。目前，谷歌已在 Chrome 浏覽器中引入了端到端加密，未來計劃在 Google Authenticator 中引入端到端加密。