雙重驗證(2FA)應用程式Google Authenticator於4月份宣佈推出雲端同步功能,希望藉此改善過去不支援備份和多設備使用所帶來的不便,讓用戶在換手機或遺失手機後轉移帳戶時不會遇到太多的困難。儘管這項新功能確實便民許多,但卻也可能讓帳戶暴露於外洩風險中,因為裝置和雲端間的通訊並未加密,這個漏洞可能被有心人士窺探和利用。
雙重驗證保障登入安全,為加密貨幣圈必需品
雙重驗證是許多人為了保障帳號安全而採取的登入措施,在輸入一般設定的密碼之後,需要從Authenticator APP中接收隨機代碼並輸入,才完成登入流程。而目前為止,使用最廣泛的雙重驗證服務應該非Google Authenticator莫屬,特別是若有進行加密貨幣交易的人,必定對其不陌生,因為使用雙重驗證得以保護他們的交易帳戶免受駭客攻擊。
Google Authenticator自2010年推出後,多年來因為不支援備份和多設備使用,在更換使用裝置時手續較為複雜,若沒有轉移好或遺失手機時,就無法繼續原本設定的帳號,相關網站的登入方式也將遭到鎖定。因此,Google在4月下旬宣布Authenticator在Android 6.0和iOS 4.0以上的系統,將開始支援將帳號資訊備份至Google帳戶,若開啟備份功能後,用戶就能隨時在任何裝置使用和管理自己的雙重驗證代碼。
雲端備份存潛在資安風險,安全性與便利性須取得平衡
不過Google Authenticator的備份並非使用端到端加密(E2EE),意指並非參與通訊的使用者裝置可以讀取訊息,像是網路服務提供商、Google等潛在資料使用者都可能有能力看到相關資訊。
區塊鏈資安公司SlowMist指出,假如使用此種備份方式,當電子郵件權限遭竊,雙重驗證碼將會連帶被盜取,所帶來的風險也相當巨大。因此許多專家建議先不要開啟備份,即使備份讓轉移裝置時變得更方便,但這樣的便利是以犧牲自己的隱私為代價的。
資安研究帳號Mysk提供更詳細解釋,每個雙重驗證的QRCode都包含一個用於生成一次性代碼的秘密或種子,如果其他人知道了這個祕密後,將可以生成與您裝置上相同的一次性代碼,同時打擊雙重驗證所設下的保護。因此,假如有他人取得Google帳戶的訪問權限,所有在Google Authenticator中保管的雙重驗證資訊都會被洩露。
針對備份服務的加密問題,Google的身分安全產品經理克里斯蒂安‧布倫德(Christiaan Brand)在一則推文中承認了其中的隱私風險,說Google認為目前該公司的產品為大多數用戶在安全性與可用便利性間取得了適當的平衡,並提供了比離線使用更顯著的優勢,也表示Google計畫在未來推出Google Authenticator的端到端加密功能。
參考資料:Google Blog、Bitcoinest、PC World、SC Media
責任編輯:錢玉紘
