PTT推薦

Re: [新聞] Google Authenticator開始與Google帳號同

看板MobileComm標題Re: [新聞] Google Authenticator開始與Google帳號同作者
s25g5d4
(function)
時間推噓13 推:13 噓:0 →:43

iomirror626: 但同步等於把2FA存在雲端 這樣不是提高風險嗎?04/30 14:30
rz759: 4,雲端=多一個後門04/30 14:56

沒錯,這就是為什麼要用 end-to-end encryption (E2EE)

有啟用 E2EE 的話,在備份到雲端前,你的 2FA secret token 會用

你設定的密碼加密,並且只傳送加密後的資料到雲端,不會儲存你輸

入的密碼。


只要沒有密碼,沒有人可以解的開你的 2FA 資料,即使暴力破解,

依照目前算力也要花上數千數萬年才解的開。當然,前提是你的密碼

強度夠,如果用什麼 12345678 那三兩下就被人猜到了。


而當你換機時,在新手機開啟同步下載 2FA 資料後,必須用你之前

設定過的密碼解開資料,才能匯入設定。


只是很可惜的,Google Authenticator 並沒有提供 E2EE,所以你的

2FA 資料完全沒有加密就被上傳雲端,所以除了 Google 看得到,如

果你的 Google 帳號被盜、或是你把帳號分享給前男友/前女友,他

們也都看得到。


相較之下 Authy 是有提供 E2EE 的:

https://authy.com/blog/how-the-authy-two-factor-backups-work/

所以現階段而言,所有的資訊安全專家都不推薦啟用 Google

Authenticator 的同步功能。

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.91.34.68 (臺灣)
PTT 網址
※ 編輯: s25g5d4 (219.91.34.68 臺灣), 05/01/2023 01:24:50

btwoh05/01 01:51借版詢問,這樣看Yubic是不是最佳解呢?

coulson9805/01 02:00那微軟蘋果有做端到端加密嗎?

oh78wei05/01 02:14整天被嘴的Authy反而有端對端

oh78wei05/01 02:14看來一堆人真的是半瓶水響叮噹

square405/01 02:22https://apple.co/44gCjc3

square405/01 02:22之前吵imessage藍綠泡泡,當時自家訊息rcs有的有e2e,有

square405/01 02:22的又沒有加密

ctes94000805/01 02:44當然是拿一隻備用機,把重要的F2A也複製在上面。

ctes94000805/01 02:44沒事這隻手機就是藏好,看要放個人倉庫還是保險箱。

ctes94000805/01 02:45全部都同步的話,想想就可怕。

rz75905/01 03:00我看到的討論串都在推Authy,哪裡有整天被嘴…?

kaltu05/01 03:56有一派現在慢慢變成主流的資安觀點是認為無論如何已加密或

kaltu05/01 03:56已雜湊的資料都盡量不要放在雲端

kaltu05/01 03:56之所以要推動passwordless改用2FA或其他認證方式的根本原因

kaltu05/01 03:56就是因為現在很多公司都在大量蒐集已加密或已雜湊的關鍵資

kaltu05/01 03:56料,為的就是坐等量子比特數量達到能破256位元RSA的臨界點

kaltu05/01 03:56這個叫做store now decrypt later attack (SNDL攻擊)

kaltu05/01 03:56現在幾乎所有資安觀念夠前衛的公司都在慢慢改用passwordles

kaltu05/01 03:56s,以期儘早刪除儲存的用戶密碼雜湊的目的就是為了避免被SN

kaltu05/01 03:56DL攻擊

kaltu05/01 03:56但你現在不用密碼了卻把動態密碼整包加密備份到雲端上,那

kaltu05/01 03:56不就完全違背了改用passwordless的意義

kaltu05/01 03:56現在主流password manager處理這個問題的方法是幫你用純隨

kaltu05/01 03:56機的密碼然後提供一鍵更新密碼的功能或者乾脆自動幫你跟網

kaltu05/01 03:56站定期改密碼

kaltu05/01 03:56這樣就算已雜湊的密碼被外洩給SNDL攻擊者,到時候他反雜湊

kaltu05/01 03:56出來的資料也沒有意義

kaltu05/01 03:57但動態密碼的更新(重新註冊)到目前為止都還沒有看到成熟

kaltu05/01 03:57的商業實作

kaltu05/01 04:02所以我從來不覺得Google authenticator 沒有線上備份功能有

kaltu05/01 04:02什麼問題

kaltu05/01 04:02他有匯出的功能,我自己定期會匯出到備用手機上

kaltu05/01 04:02主要手機遺失/被竊/損毀就從備用手機上再備份回來就好了

ayasesayuki05/01 07:25我的otp放在keepass裡面 要用yubikey才能解

square405/01 10:32fido2採用yubikey+webauthn,可見totp擾民也不能防釣魚

gameguy05/01 10:50GG積蓄用Authy,Google 怎麼只做半套,咳

skywalker21905/01 11:14這串都看不懂

elainakuo05/01 12:25之前google authenticator 的問題就是一定要有兩隻手

elainakuo05/01 12:25機 才會一堆苦主

saedn05/01 13:11大家都好厲害

Tsukasayeo05/01 14:00早期的Google連本地備份轉移都沒有,加上他是Google,

Tsukasayeo05/01 14:00所以第一直覺就是當他有雲端同步,結果換手機一裝全空

Tsukasayeo05/01 14:01只能用當初存的QR-Code掃回來或重綁,就直接跳微軟了

regenerator05/01 17:02這串好多常識 ,感謝大家了

weltschmerz05/01 17:47趕緊打開我的authy 裡面只有圖奇==

hn948041205/01 18:05Authy之前有爆過一次入侵的資安風險。他們是建議平常

hn948041205/01 18:05把允許多裝置使用關閉(不影響已經新增裝置的使用)。

hn948041205/01 18:05需要新增裝置再開啟

hn948041205/01 18:05 https://i.imgur.com/B9uyQQq.jpg

圖 Google Authenticator開始與Google帳號同

flypenguin05/01 18:23這點是我選 Authy 不用 MS 的主因,可以多裝置裝完再

flypenguin05/01 18:23鎖起來;MS 限單裝置,常常要走過去拿充電中的手機。

flypenguin05/01 18:25google 那個超級反人類就算了…

flypenguin05/01 18:25當年手機壞掉,四十幾個帳戶重設到崩潰。

applewarm05/01 21:38

tcchu05/02 20:23我用aegis每天跑一次adb-sync 不過他本身好像可以雲端備份

tcchu05/02 20:26後來想了想 好像adb pull就可以了