Re: [新聞] Google Authenticator開始與Google帳號同

s25g5d4 發表於 2023/5/1 上午1:24:22

看板MobileComm標題Re: [新聞] Google Authenticator開始與Google帳號同作者

s25g5d4

(function)時間May 1 01:24:22 2023推噓13 推:13 噓:0 →:43

PTT評價

→ iomirror626: 但同步等於把2FA存在雲端這樣不是提高風險嗎？04/30 14:30

→ rz759: 4，雲端=多一個後門04/30 14:56

沒錯，這就是為什麼要用 end-to-end encryption (E2EE)

有啟用 E2EE 的話，在備份到雲端前，你的 2FA secret token 會用

你設定的密碼加密，並且只傳送加密後的資料到雲端，不會儲存你輸

入的密碼。

只要沒有密碼，沒有人可以解的開你的 2FA 資料，即使暴力破解，

依照目前算力也要花上數千數萬年才解的開。當然，前提是你的密碼

強度夠，如果用什麼 12345678 那三兩下就被人猜到了。

而當你換機時，在新手機開啟同步下載 2FA 資料後，必須用你之前

設定過的密碼解開資料，才能匯入設定。

只是很可惜的，Google Authenticator 並沒有提供 E2EE，所以你的

2FA 資料完全沒有加密就被上傳雲端，所以除了 Google 看得到，如

果你的 Google 帳號被盜、或是你把帳號分享給前男友/前女友，他

們也都看得到。

相較之下 Authy 是有提供 E2EE 的：

https://authy.com/blog/how-the-authy-two-factor-backups-work/

所以現階段而言，所有的資訊安全專家都不推薦啟用 Google

Authenticator 的同步功能。

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.91.34.68 (臺灣)

※ PTT 網址

※ 編輯: s25g5d4 (219.91.34.68 臺灣), 05/01/2023 01:24:50

推

btwoh05/01 01:51借版詢問，這樣看Yubic是不是最佳解呢？

推

coulson9805/01 02:00那微軟蘋果有做端到端加密嗎？

推

oh78wei05/01 02:14整天被嘴的Authy反而有端對端

→

oh78wei05/01 02:14看來一堆人真的是半瓶水響叮噹

→

square405/01 02:22https://apple.co/44gCjc3

→

square405/01 02:22之前吵imessage藍綠泡泡，當時自家訊息rcs有的有e2e，有

→

square405/01 02:22的又沒有加密

推

ctes94000805/01 02:44當然是拿一隻備用機，把重要的F2A也複製在上面。

→

ctes94000805/01 02:44沒事這隻手機就是藏好，看要放個人倉庫還是保險箱。

→

ctes94000805/01 02:45全部都同步的話，想想就可怕。

→

rz75905/01 03:00我看到的討論串都在推Authy，哪裡有整天被嘴…？

推

kaltu05/01 03:56有一派現在慢慢變成主流的資安觀點是認為無論如何已加密或

→

kaltu05/01 03:56已雜湊的資料都盡量不要放在雲端

→

kaltu05/01 03:56之所以要推動passwordless改用2FA或其他認證方式的根本原因

→

kaltu05/01 03:56就是因為現在很多公司都在大量蒐集已加密或已雜湊的關鍵資

→

kaltu05/01 03:56料，為的就是坐等量子比特數量達到能破256位元RSA的臨界點

→

kaltu05/01 03:56這個叫做store now decrypt later attack (SNDL攻擊)

→

kaltu05/01 03:56現在幾乎所有資安觀念夠前衛的公司都在慢慢改用passwordles

→

kaltu05/01 03:56s，以期儘早刪除儲存的用戶密碼雜湊的目的就是為了避免被SN

→

kaltu05/01 03:56DL攻擊

→

kaltu05/01 03:56但你現在不用密碼了卻把動態密碼整包加密備份到雲端上，那

→

kaltu05/01 03:56不就完全違背了改用passwordless的意義

→

kaltu05/01 03:56現在主流password manager處理這個問題的方法是幫你用純隨

→

kaltu05/01 03:56機的密碼然後提供一鍵更新密碼的功能或者乾脆自動幫你跟網

→

kaltu05/01 03:56站定期改密碼

→

kaltu05/01 03:56這樣就算已雜湊的密碼被外洩給SNDL攻擊者，到時候他反雜湊

→

kaltu05/01 03:56出來的資料也沒有意義

→

kaltu05/01 03:57但動態密碼的更新（重新註冊）到目前為止都還沒有看到成熟

→

kaltu05/01 03:57的商業實作

→

kaltu05/01 04:02所以我從來不覺得Google authenticator 沒有線上備份功能有

→

kaltu05/01 04:02什麼問題

→

kaltu05/01 04:02他有匯出的功能，我自己定期會匯出到備用手機上

→

kaltu05/01 04:02主要手機遺失/被竊/損毀就從備用手機上再備份回來就好了

→

ayasesayuki05/01 07:25我的otp放在keepass裡面要用yubikey才能解

→

square405/01 10:32fido2採用yubikey+webauthn，可見totp擾民也不能防釣魚

→

gameguy05/01 10:50GG積蓄用Authy，Google 怎麼只做半套，咳

推

skywalker21905/01 11:14這串都看不懂

推

elainakuo05/01 12:25之前google authenticator 的問題就是一定要有兩隻手

→

elainakuo05/01 12:25機才會一堆苦主

推

saedn05/01 13:11大家都好厲害

推

Tsukasayeo05/01 14:00早期的Google連本地備份轉移都沒有，加上他是Google，

→

Tsukasayeo05/01 14:00所以第一直覺就是當他有雲端同步，結果換手機一裝全空

→

Tsukasayeo05/01 14:01只能用當初存的QR-Code掃回來或重綁，就直接跳微軟了

推

regenerator05/01 17:02這串好多常識，感謝大家了

推

weltschmerz05/01 17:47趕緊打開我的authy 裡面只有圖奇==

→

hn948041205/01 18:05Authy之前有爆過一次入侵的資安風險。他們是建議平常

→

hn948041205/01 18:05把允許多裝置使用關閉（不影響已經新增裝置的使用）。

→

hn948041205/01 18:05需要新增裝置再開啟

→

hn948041205/01 18:05 https://i.imgur.com/B9uyQQq.jpg

→

flypenguin05/01 18:23這點是我選 Authy 不用 MS 的主因，可以多裝置裝完再

→

flypenguin05/01 18:23鎖起來；MS 限單裝置，常常要走過去拿充電中的手機。

→

flypenguin05/01 18:25google 那個超級反人類就算了…

→

flypenguin05/01 18:25當年手機壞掉，四十幾個帳戶重設到崩潰。

推

applewarm05/01 21:38推

推

tcchu05/02 20:23我用aegis每天跑一次adb-sync 不過他本身好像可以雲端備份

→

tcchu05/02 20:26後來想了想好像adb pull就可以了

其他人也閱讀了

PTT 熱門相關