作者
標題 Re: [新聞] Google Authenticator開始與Google帳號同
時間 Mon May 1 01:24:22 2023
標題 Re: [新聞] Google Authenticator開始與Google帳號同
時間 Mon May 1 01:24:22 2023
→ : 但同步等於把2FA存在雲端 這樣不是提高風險嗎?04/30 14:30
→ : 4,雲端=多一個後門04/30 14:56
沒錯,這就是為什麼要用 end-to-end encryption (E2EE)
有啟用 E2EE 的話,在備份到雲端前,你的 2FA secret token 會用
你設定的密碼加密,並且只傳送加密後的資料到雲端,不會儲存你輸
入的密碼。
你設定的密碼加密,並且只傳送加密後的資料到雲端,不會儲存你輸
入的密碼。
只要沒有密碼,沒有人可以解的開你的 2FA 資料,即使暴力破解,
依照目前算力也要花上數千數萬年才解的開。當然,前提是你的密碼
強度夠,如果用什麼 12345678 那三兩下就被人猜到了。
依照目前算力也要花上數千數萬年才解的開。當然,前提是你的密碼
強度夠,如果用什麼 12345678 那三兩下就被人猜到了。
而當你換機時,在新手機開啟同步下載 2FA 資料後,必須用你之前
設定過的密碼解開資料,才能匯入設定。
只是很可惜的,Google Authenticator 並沒有提供 E2EE,所以你的
2FA 資料完全沒有加密就被上傳雲端,所以除了 Google 看得到,如
果你的 Google 帳號被盜、或是你把帳號分享給前男友/前女友,他
們也都看得到。
2FA 資料完全沒有加密就被上傳雲端,所以除了 Google 看得到,如
果你的 Google 帳號被盜、或是你把帳號分享給前男友/前女友,他
們也都看得到。
相較之下 Authy 是有提供 E2EE 的:
https://authy.com/blog/how-the-authy-two-factor-backups-work/
How Authy 2FA Backups Work - Authy
![[圖]]()
A few years ago Google Authenticator released an update for their iPhone App that wiped users 2FA tokens when installed. That prompted a lot of users ...
![[圖]](https://authy.com/wp-content/uploads/featured-section-backup-to-icloud_2x.png)
所以現階段而言,所有的資訊安全專家都不推薦啟用 Google
Authenticator 的同步功能。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.91.34.68 (臺灣)
※ 作者: s25g5d4 2023-05-01 01:24:22
※ 文章代碼(AID): #1aJgH9oA (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1682875465.A.C8A.html
※ 同主題文章:
Re: [新聞] Google Authenticator開始與Google帳號同
05-01 01:24
※ 編輯: s25g5d4 (219.91.34.68 臺灣), 05/01/2023 01:24:50
![[圖]]()
--
推 : 借版詢問,這樣看Yubic是不是最佳解呢?1F 05/01 01:51
推 : 那微軟蘋果有做端到端加密嗎?2F 05/01 02:00
推 : 整天被嘴的Authy反而有端對端
看來一堆人真的是半瓶水響叮噹3F 05/01 02:14
看來一堆人真的是半瓶水響叮噹3F 05/01 02:14
推 : 當然是拿一隻備用機,把重要的F2A也複製在上面。
沒事這隻手機就是藏好,看要放個人倉庫還是保險箱。全部都同步的話,想想就可怕。8F 05/01 02:44
沒事這隻手機就是藏好,看要放個人倉庫還是保險箱。全部都同步的話,想想就可怕。8F 05/01 02:44
→ : 我看到的討論串都在推Authy,哪裡有整天被嘴…?11F 05/01 03:00
推 : 有一派現在慢慢變成主流的資安觀點是認為無論如何已加密或已雜湊的資料都盡量不要放在雲端
之所以要推動passwordless改用2FA或其他認證方式的根本原因就是因為現在很多公司都在大量蒐集已加密或已雜湊的關鍵資料,為的就是坐等量子比特數量達到能破256位元RSA的臨界點這個叫做store now decrypt later attack (SNDL攻擊)
現在幾乎所有資安觀念夠前衛的公司都在慢慢改用passwordless,以期儘早刪除儲存的用戶密碼雜湊的目的就是為了避免被SNDL攻擊
但你現在不用密碼了卻把動態密碼整包加密備份到雲端上,那不就完全違背了改用passwordless的意義
現在主流password manager處理這個問題的方法是幫你用純隨機的密碼然後提供一鍵更新密碼的功能或者乾脆自動幫你跟網站定期改密碼
這樣就算已雜湊的密碼被外洩給SNDL攻擊者,到時候他反雜湊出來的資料也沒有意義
但動態密碼的更新(重新註冊)到目前為止都還沒有看到成熟的商業實作
所以我從來不覺得Google authenticator 沒有線上備份功能有什麼問題
他有匯出的功能,我自己定期會匯出到備用手機上
主要手機遺失/被竊/損毀就從備用手機上再備份回來就好了12F 05/01 03:56
之所以要推動passwordless改用2FA或其他認證方式的根本原因就是因為現在很多公司都在大量蒐集已加密或已雜湊的關鍵資料,為的就是坐等量子比特數量達到能破256位元RSA的臨界點這個叫做store now decrypt later attack (SNDL攻擊)
現在幾乎所有資安觀念夠前衛的公司都在慢慢改用passwordless,以期儘早刪除儲存的用戶密碼雜湊的目的就是為了避免被SNDL攻擊
但你現在不用密碼了卻把動態密碼整包加密備份到雲端上,那不就完全違背了改用passwordless的意義
現在主流password manager處理這個問題的方法是幫你用純隨機的密碼然後提供一鍵更新密碼的功能或者乾脆自動幫你跟網站定期改密碼
這樣就算已雜湊的密碼被外洩給SNDL攻擊者,到時候他反雜湊出來的資料也沒有意義
但動態密碼的更新(重新註冊)到目前為止都還沒有看到成熟的商業實作
所以我從來不覺得Google authenticator 沒有線上備份功能有什麼問題
他有匯出的功能,我自己定期會匯出到備用手機上
主要手機遺失/被竊/損毀就從備用手機上再備份回來就好了12F 05/01 03:56
→ : 我的otp放在keepass裡面 要用yubikey才能解34F 05/01 07:25
→ : fido2採用yubikey+webauthn,可見totp擾民也不能防釣魚35F 05/01 10:32
→ : GG積蓄用Authy,Google 怎麼只做半套,咳36F 05/01 10:50
推 : 這串都看不懂37F 05/01 11:14
推 : 之前google authenticator 的問題就是一定要有兩隻手機 才會一堆苦主38F 05/01 12:25
推 : 大家都好厲害40F 05/01 13:11
推 : 早期的Google連本地備份轉移都沒有,加上他是Google,所以第一直覺就是當他有雲端同步,結果換手機一裝全空只能用當初存的QR-Code掃回來或重綁,就直接跳微軟了41F 05/01 14:00
推 : 這串好多常識 ,感謝大家了44F 05/01 17:02
推 : 趕緊打開我的authy 裡面只有圖奇==45F 05/01 17:47
→ : Authy之前有爆過一次入侵的資安風險。他們是建議平常把允許多裝置使用關閉(不影響已經新增裝置的使用)。需要新增裝置再開啟
https://i.imgur.com/B9uyQQq.jpg46F 05/01 18:05
https://i.imgur.com/B9uyQQq.jpg46F 05/01 18:05
![[圖]](https://i.imgur.com/B9uyQQqh.jpg)
→ : 這點是我選 Authy 不用 MS 的主因,可以多裝置裝完再鎖起來;MS 限單裝置,常常要走過去拿充電中的手機。google 那個超級反人類就算了…
當年手機壞掉,四十幾個帳戶重設到崩潰。50F 05/01 18:23
當年手機壞掉,四十幾個帳戶重設到崩潰。50F 05/01 18:23
推 : 推54F 05/01 21:38
推 : 我用aegis每天跑一次adb-sync 不過他本身好像可以雲端備份後來想了想 好像adb pull就可以了55F 05/02 20:23
--