(资料图)

谷歌将为 Google Authenticator 加入端到端加密。

Google Authenticator（身份验证器）是谷歌推出的基于时间的一次性密码 ( Time-based One-time Password ) ，只需要在手机上安装该 APP，就可以生成一个随着时间变化的一次性密码，用于帐户验证。Google Authenticator 是一款非常主流的身份认证应用，下载量超过 1 亿。

2FA token 云端备份

4 月 25 日，Google Authenticator 完成了将 2FA token（双因子验证口令）备份到云端的功能。该功能允许用户将 Google Authenticator 2FA tokens 与谷歌账户进行同步，用户可以通过多种设备来访问 2FA token，如果移动设备丢失或受到破坏仍然可以起到备份作用。

Google Authenticator 云同步功能发布后，来自 Mysk 的安全研究人员在推特指出数据在上传到谷歌服务器时未进行端到端加密。研究人员分析了 APP 同步过程中的网络流量，发现流量并不是端到端加密的。也就是说谷歌是可以看到同步的信息的。目前尚未实现只有上传的用户才能够访问这些信息。

端到端加密（E2EE）是数据在传输和存储到另一个设备之前使用只有用户（所有者）知道的密码对其进行加密。因为数据是加密的，因此无法被其他人访问。但 Google Authenticator 不提供端到端加密，保存在谷歌服务器上的数据是有可能被其他非授权的用户访问的，比如数据泄露。

每个 2FA 二维码中包含一个秘密或 seed，用于生成一次性口令。如果其他用户知道了 seed，那么就可以生成相同的一次性口令，以绕过 2FA 的保护。

谷歌将引入 E2EE

谷歌了解到用户对 Google Authenticator 中未使用端到端加密的担忧后，表示将在之后的版本中加入端到端加密。谷歌称考虑到端到端加密可能会导致用户在忘记口令后导致其数据不能被访问，因此其在产品中使用该功能非常慎重。目前，谷歌已在 Chrome 浏览器中引入了端到端加密，未来计划在 Google Authenticator 中引入端到端加密。

关键词：