防止你的在线账户被黑客入侵的最有效方法之一是开启双因素身份验证。这种安全措施通常被称为2FA或多因素身份验证,除了用户名和密码外,还需要输入数字代码。所以即使有人得到了你的密码,如果没有你的登录码,他们也无法闯入你的账户。
多年来,安全专家一直建议使用身份验证应用程序来生成这些代码。你所要做的就是扫描你想要开启2FA的服务的二维码,应用程序大约每30秒会生成一个新的登录码。本周,谷歌(Google)对其2FA应用谷歌认证(Google Authenticator)进行了亟需的彻底改革。
谷歌重新设计了Authenticator,使其不那么笨重,并在此过程中增加了一个可能很方便的新工具:将你的登录代码同步到你的谷歌账户和不同的手机和平板电脑上。这基本上意味着你的Instagram, Gmail,或Reddit 2FA代码,加上你已经打开的所有其他帐户将被备份。如果你存储了2FA密码的手机丢失或被盗,这一调整大大减轻了切换设备的负担,它甚至可以让你免于被完全锁定某些账户。
谷歌集团产品经理克里斯蒂安·布兰德(Christiaan Brand)在一篇宣布这一变化的博客文章中写道:“由于Authenticator中的一次性代码只存储在一台设备上,丢失该设备意味着用户将无法登录他们使用Authenticator设置2FA的任何服务。”布兰德表示,自2010年Authenticator应用发布以来,同步功能一直是最受欢迎的功能之一。“这一变化意味着用户可以更好地免受锁定,服务可以依靠用户保留访问权限,从而增加了便利性和安全性。”
现在,同步你的Google Authenticator代码可以通过你的Google账户实现——这个功能在最新的iOS和Android版本的Google应用程序上都有。Authenticator让你可以选择在你的Google登录名上使用这个应用程序,如果你选择了这个选项,你的Google个人资料就会显示在应用程序的右上角,在一个同步图标旁边。当我在手机上设置同步后,在iPad上下载Authenticator时,我一登录,密码就出现了。用户还可以选择在不登录谷歌账户的情况下继续使用谷歌身份验证器。
安全公司ESET的全球安全顾问杰克?摩尔表示,他之前曾被一款身份验证应用锁住,他知道在无法访问登录码的情况下,试图重新登录所有账户的挫败感。摩尔表示:“多年来,随着云存储的出现,升级手机变得更加容易,但身份验证应用程序的进展却很慢,而且在安全方面也有所保留。”
谷歌并不是唯一一家提供2FA登录码来提供备份的公司。自2019年以来,微软允许人们在其微软身份验证应用程序上使用“备份和恢复”工具。Authy等其他第三方应用程序也可以在人们的设备上同步。(苹果的一体式密码管理器允许你在iphone和mac电脑上生成和存储登录代码,但没有独立的应用程序。)
虽然谷歌的品牌将2FA代码备份描绘为用户的胜利,但摩尔表示,在平衡用户安全性和便利性时,总是存在权衡。当然,如果你的手机丢失或被盗,备份密码可能会让你更容易进入你的账户。但是,您的代码存储的位置越多,恶意行为者访问它们的风险就越大。
例如,如果有人获得了访问你的谷歌帐户,他们也可以访问你的其他在线帐户的2FA代码。谷歌发言人金伯利·萨姆拉说:“这种风险比你丢失设备、失去otp的风险要小得多,然后服务不得不使用一种弱得多的机制来允许你登录。”
Tommy Mysk是一名应用程序开发人员和安全研究员,他经营着一家软件公司Mysk,他测试了多个2FA应用程序,并发现了可供下载的流氓应用程序。Mysk表示,主要的2FA应用程序存在安全和隐私限制。例如,微软的同步功能无法在iOS和Android设备之间工作,这使得切换操作系统和携带2FA代码变得更加困难。
就应用程序收集的数据而言,Mysk表示,谷歌的身份验证器表现“非常好”,而且不会与谷歌分享二维码的细节。麦斯克说:“大多数应用程序,包括微软认证器,都会发送行为分析——也就是说,用户如何使用这些应用程序以及他们点击了哪里。”“Google Authenticator不会发送这类数据。”
尽管增加了更多的便利,但谷歌或微软的认证应用程序似乎都没有在用户的2FA登录代码同步时使用端到端加密来备份他们的登录代码。这种加密方法可以确保公司看不到你登录代码的内容。“由于2FA应用程序处理机密,跨设备同步数据的唯一安全方法是使用端到端加密,”Mysk说。“应用程序开发者不应该能够读取数据的内容。”
