作者s25g5d4 (function(){})()
看板MobileComm
标题Re: [新闻] Google Authenticator开始与Google帐号同
时间Mon May 1 01:24:22 2023
1F:→ iomirror626: 但同步等於把2FA存在云端 这样不是提高风险吗?04/30 14:30
2F:→ rz759: 4,云端=多一个後门04/30 14:56
没错,这就是为什麽要用 end-to-end encryption (E2EE)
有启用 E2EE 的话,在备份到云端前,你的 2FA secret token 会用
你设定的密码加密,并且只传送加密後的资料到云端,不会储存你输
入的密码。
只要没有密码,没有人可以解的开你的 2FA 资料,即使暴力破解,
依照目前算力也要花上数千数万年才解的开。当然,前提是你的密码
强度够,如果用什麽 12345678 那三两下就被人猜到了。
而当你换机时,在新手机开启同步下载 2FA 资料後,必须用你之前
设定过的密码解开资料,才能汇入设定。
只是很可惜的,Google Authenticator 并没有提供 E2EE,所以你的
2FA 资料完全没有加密就被上传云端,所以除了 Google 看得到,如
果你的 Google 帐号被盗、或是你把帐号分享给前男友/前女友,他
们也都看得到。
相较之下 Authy 是有提供 E2EE 的:
https://authy.com/blog/how-the-authy-two-factor-backups-work/
所以现阶段而言,所有的资讯安全专家都不推荐启用 Google
Authenticator 的同步功能。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.91.34.68 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1682875465.A.C8A.html
※ 编辑: s25g5d4 (219.91.34.68 台湾), 05/01/2023 01:24:50
3F:推 btwoh: 借版询问,这样看Yubic是不是最佳解呢? 05/01 01:51
4F:推 coulson98: 那微软苹果有做端到端加密吗? 05/01 02:00
5F:推 oh78wei: 整天被嘴的Authy反而有端对端 05/01 02:14
6F:→ oh78wei: 看来一堆人真的是半瓶水响叮当 05/01 02:14
8F:→ square4: 之前吵imessage蓝绿泡泡,当时自家讯息rcs有的有e2e,有 05/01 02:22
9F:→ square4: 的又没有加密 05/01 02:22
10F:推 ctes940008: 当然是拿一只备用机,把重要的F2A也复制在上面。 05/01 02:44
11F:→ ctes940008: 没事这只手机就是藏好,看要放个人仓库还是保险箱。 05/01 02:44
12F:→ ctes940008: 全部都同步的话,想想就可怕。 05/01 02:45
13F:→ rz759: 我看到的讨论串都在推Authy,哪里有整天被嘴…? 05/01 03:00
14F:推 kaltu: 有一派现在慢慢变成主流的资安观点是认为无论如何已加密或 05/01 03:56
15F:→ kaltu: 已杂凑的资料都尽量不要放在云端 05/01 03:56
16F:→ kaltu: 之所以要推动passwordless改用2FA或其他认证方式的根本原因 05/01 03:56
17F:→ kaltu: 就是因为现在很多公司都在大量蒐集已加密或已杂凑的关键资 05/01 03:56
18F:→ kaltu: 料,为的就是坐等量子比特数量达到能破256位元RSA的临界点 05/01 03:56
19F:→ kaltu: 这个叫做store now decrypt later attack (SNDL攻击) 05/01 03:56
20F:→ kaltu: 现在几乎所有资安观念够前卫的公司都在慢慢改用passwordles 05/01 03:56
21F:→ kaltu: s,以期尽早删除储存的用户密码杂凑的目的就是为了避免被SN 05/01 03:56
22F:→ kaltu: DL攻击 05/01 03:56
23F:→ kaltu: 但你现在不用密码了却把动态密码整包加密备份到云端上,那 05/01 03:56
24F:→ kaltu: 不就完全违背了改用passwordless的意义 05/01 03:56
25F:→ kaltu: 现在主流password manager处理这个问题的方法是帮你用纯随 05/01 03:56
26F:→ kaltu: 机的密码然後提供一键更新密码的功能或者乾脆自动帮你跟网 05/01 03:56
27F:→ kaltu: 站定期改密码 05/01 03:56
28F:→ kaltu: 这样就算已杂凑的密码被外泄给SNDL攻击者,到时候他反杂凑 05/01 03:56
29F:→ kaltu: 出来的资料也没有意义 05/01 03:56
30F:→ kaltu: 但动态密码的更新(重新注册)到目前为止都还没有看到成熟 05/01 03:57
31F:→ kaltu: 的商业实作 05/01 03:57
32F:→ kaltu: 所以我从来不觉得Google authenticator 没有线上备份功能有 05/01 04:02
33F:→ kaltu: 什麽问题 05/01 04:02
34F:→ kaltu: 他有汇出的功能,我自己定期会汇出到备用手机上 05/01 04:02
35F:→ kaltu: 主要手机遗失/被窃/损毁就从备用手机上再备份回来就好了 05/01 04:02
36F:→ ayasesayuki: 我的otp放在keepass里面 要用yubikey才能解 05/01 07:25
37F:→ square4: fido2采用yubikey+webauthn,可见totp扰民也不能防钓鱼 05/01 10:32
38F:→ gameguy: GG积蓄用Authy,Google 怎麽只做半套,咳 05/01 10:50
39F:推 skywalker219: 这串都看不懂 05/01 11:14
40F:推 elainakuo: 之前google authenticator 的问题就是一定要有两只手 05/01 12:25
41F:→ elainakuo: 机 才会一堆苦主 05/01 12:25
42F:推 saedn: 大家都好厉害 05/01 13:11
43F:推 Tsukasayeo: 早期的Google连本地备份转移都没有,加上他是Google, 05/01 14:00
44F:→ Tsukasayeo: 所以第一直觉就是当他有云端同步,结果换手机一装全空 05/01 14:00
45F:→ Tsukasayeo: 只能用当初存的QR-Code扫回来或重绑,就直接跳微软了 05/01 14:01
46F:推 regenerator: 这串好多常识 ,感谢大家了 05/01 17:02
47F:推 weltschmerz: 赶紧打开我的authy 里面只有图奇== 05/01 17:47
48F:→ hn9480412: Authy之前有爆过一次入侵的资安风险。他们是建议平常 05/01 18:05
49F:→ hn9480412: 把允许多装置使用关闭(不影响已经新增装置的使用)。 05/01 18:05
50F:→ hn9480412: 需要新增装置再开启 05/01 18:05
52F:→ flypenguin: 这点是我选 Authy 不用 MS 的主因,可以多装置装完再 05/01 18:23
53F:→ flypenguin: 锁起来;MS 限单装置,常常要走过去拿充电中的手机。 05/01 18:23
54F:→ flypenguin: google 那个超级反人类就算了… 05/01 18:25
55F:→ flypenguin: 当年手机坏掉,四十几个帐户重设到崩溃。 05/01 18:25
56F:推 applewarm: 推 05/01 21:38
57F:推 tcchu: 我用aegis每天跑一次adb-sync 不过他本身好像可以云端备份 05/02 20:23
58F:→ tcchu: 後来想了想 好像adb pull就可以了 05/02 20:26
59F:→ roccqqck: 我要的本来就不是点对点加密 我要的是云端备份方便 05/10 14:52
61F:→ roccqqck: 不过2fa还是绑手机号码才是真的 05/10 20:42
62F:→ roccqqck: 不能绑手机号码的2fa都没什麽意义 05/10 20:42
63F:→ roccqqck: 不能绑两只以上手机号码的2fa最好都别开启 05/10 20:43
64F:→ kaltu: 手机门号系统并不是设计给安全认证用的,SIm Fraud 之类的 05/10 23:52
65F:→ kaltu: 问题解决不了 05/10 23:52
66F:推 roccqqck: 用authenticator app的前提是这帐号有真的实名制 例如 05/12 07:59
67F:→ roccqqck: 银行 电信 05/12 07:59
68F:→ roccqqck: 不然手机万一坏了弄丢了 你没绑手机根本救不回来 05/12 07:59
69F:→ roccqqck: 问题是这些帐号或email根本没有提供实名制或蓝勾勾的认 05/12 08:00
70F:→ roccqqck: 证 05/12 08:00
71F:→ roccqqck: 为了安全 却搞丢自己的帐号 根本本末倒置 05/12 08:01
72F:→ roccqqck: 我说的实名制认证是给双证件的那种 05/12 08:09
73F:推 kaltu: 除了中国台湾施行电话号码实名制的地方,VoIP和eSIM跟水一 05/12 09:43
74F:→ kaltu: 样在发,电信门号就不是设计给你身份认证用的,台湾是为了 05/12 09:43
75F:→ kaltu: 神奇的理由要门号绑身份才刚好可以顺便拿来认人,但系统的 05/12 09:43
76F:→ kaltu: 安全性本来就不是按照身份认证机制的标准在设计,门号停话 05/12 09:43
77F:→ kaltu: 还会被别人申请走 05/12 09:43
78F:→ kaltu: 前几年小型电信商出来厮杀的时候一堆人办了一堆line mobile 05/12 09:43
79F:→ kaltu: 台星之类的号码,拿来办一堆帐号重复使用每个帐号一次的网 05/12 09:43
80F:→ kaltu: 购免运/外送折扣,现在某些公司大量在捞这些门号 05/12 09:43
81F:→ kaltu: 隔壁手机版就有一篇多年前停话的门号被拿来申请EZway进口申 05/12 09:43
82F:→ kaltu: 报 05/12 09:43
83F:→ kaltu: 跟美国没有联邦级身分证拿劳保号码搭州政府的驾照一起组合 05/12 09:43
84F:→ kaltu: 起来当身份认证一样然後一堆破事一样 05/12 09:44
85F:→ kaltu: 不是用来识别身份的系统便宜行事拿来认证就会有很多问题 05/12 09:44
86F:→ roccqqck: 手机控制权至少是掌握在使用者自己手上 手机弄丢我还能 05/12 18:26
87F:→ roccqqck: 补发 05/12 18:26
88F:→ roccqqck: authenticator app手机坏了你根本没救好吗 不是每个人都 05/12 18:27
89F:→ roccqqck: 有两台手机 05/12 18:27
90F:→ roccqqck: 目前就没有比手机更好的方法的阿 05/12 18:27
91F:→ roccqqck: 企业用authenticator app都是因为有一个管理者 员工弄丢 05/12 18:30
92F:→ roccqqck: 了可以补发给员工好吗 05/12 18:30
93F:→ roccqqck: 你Gmail outlook根本没有这种客服机制 不绑手机号码 装 05/12 18:30
94F:→ roccqqck: 置一坏掉弄丢帐号就掰了 05/12 18:30
95F:→ roccqqck: 银行 你弄丢密码 提款卡 存摺 为何帐户还是你的? 05/12 18:34
96F:→ roccqqck: 这些网路没做到银行这种程度 你还是乖乖用手机号码吧 05/12 18:34