Google Authenticator于2010年首次推出，该应用程序存储并生成双因素身份验证（2FA）代码，多年来缺乏备份和多设备支持。这使得转移手机变得更加困难，如果你没有2FA的替代形式，处理丢失或被盗的设备就完全是一场噩梦。你会丢失登录受额外安全层保护的帐户所需的信息，并最终被锁定。

周一，这种情况终于改变了，谷歌更新了Authator，支持云同步备份。从Android的6.0版和iOS的4.0版开始，你现在可以选择将你的2FA种子(生成代码的信息)备份到谷歌账户中。如果您选择这样做，您将能够从任何设备访问和管理您的2FA代码。

这是谷歌验证器用户多年来一直要求的一项功能，而且有充分的理由。账户锁定不是闹着玩的。但即使考虑到这样一个地狱般的场景，你可能仍然想要推迟在云中同步你的2FA代码。

目前，谷歌验证器备份没有使用端到端加密(E2EE)–正如发现该问题的安全研究人员指出的那样，您的2FA种子并不是完全保密的。谷歌有能力看到它们。

Mysk在推特上发布了该警告的部分屏幕截图。

为什么谷歌说它在传输中(当你向其服务器发送信息时)和静态(当数据位于其服务器上)使用加密时会出现这种情况？它与数据的加密方式有关。使用目前的方法，谷歌拥有加密密钥–因为它有能力对你的数据进行加密和解密，所以当信息未加密时，它可以看到信息。

相比之下，如果你的谷歌验证器2FA种子是用E2EE保护的，你就可以控制加密。你的数据在离开你的设备时将保持保密，在不同的服务器之间传递，并存储在谷歌的服务器上。实际上，你可以用密码或密码锁定手机上的2FA种子，然后在下载到新设备上时随时使用相同的凭据解锁。

保守秘密。确保它的安全。(这只是谷歌验证器中存储的一个2FA帐户。你可以拥有更多。)

如果你的谷歌账户(或者更糟糕的是，谷歌的服务器)遭到入侵，E2EE可以更好地保护你。把它想象成把一套重要的房子钥匙放在保险箱里。从理论上讲，它们是安全的–只要你永远不会丢失保险箱钥匙，而且没有人复制你不知道的东西(即有人发现或猜测你的谷歌账户密码)。你还必须相信银行员工不会进入银行，并将始终妥善保护存放保险箱的金库。

但由于有人可以窃取你的保险箱钥匙(也就是说，人们经常重复使用密码或使用薄弱的密码)，你可以通过首先包装和密封只有你才能撤销的方式来获得更多的保护。(这是E2EE。)你可能在去银行的路上被劫车，或者银行可能让一名员工无赖，或者有人用保险箱炸毁了金库，但你珍贵的钥匙仍然安全。

然而，根据谷歌的说法，缺乏对E2EE的支持是故意的。验证器应用程序的集团产品经理克里斯蒂安·布兰德在一系列简短的推文中解释说，团队在保护与可用性和便利性之间取得了平衡。布兰德还透露，可选的端到端加密最终将进入验证器。

在此之前，您可能应该考虑推迟对Google Authenticator的备份。风险可能不值得回报，尤其是当你可以切换到一个更好的替代应用程序。对于云同步的2FA代码，Authy具有跨平台支持（iOS，Android，Windows，Mac，Linux），使用E2EE，并且还允许您限制添加新设备。

与此同时，如果你只需要备份你的2FA种子，你可以使用Aegis(Android)或Raivo(IOS)等应用程序。它支持密码保护和加密您的2FA秘密。您也不必保存到云中。相反，您可以导出种子的加密副本，然后脱机将其存储在其他地方。

如果你选择仍然使用谷歌验证器的云备份，请确保在你的谷歌账户上启用了双因素身份验证。你不想让未经授权的人下载验证码，将其链接到你的谷歌账户，然后立即看到你所有的2FA代码–很可能是接管你其他非谷歌账户所需的最后一块拼图。

目前，谷歌的帮助页面显示，2FA是使用验证器的必填项，所以如果你已经设置了云备份，你可能会认为你已经准备好了。然而，我们能够链接到谷歌验证器与缺乏2FA保护的谷歌账户，这与帮助页面相矛盾。(我们就这个差异联系了谷歌，但没有立即收到对我们的置评请求的回应。)因此，请检查并确保。

总而言之，基本的结论是，为了保证你的2FA代码的完全安全，你目前最好离开谷歌验证器。(如果你按照谷歌的说明生成出口二维码，你可以非常容易地做到这一点。)否则，你至少应该确保你的谷歌账户启用了双因素身份验证–并使用几种2FA方法来避免意外锁定。

– – END – –

– – 转载请声明来源：www.lanpanpan.com – –

编译：盼盼云笔记