新的谷歌身份验证器正面临批评。现在支持不同安装之间的便捷同步。但是:安全研究人员可能发现谷歌在同步过程中不使用端到端加密。他们声称甚至可以使用中间人攻击来查询起始值。谷歌开发者也对此发表了评论。
即使使用 Google Authenticator,也要始终关注安全性。目标是在保护用户的同时提供方便快捷的功能。对我们产品(包括 Google Authenticator)中传输和静态的数据进行加密。端到端加密是一项强大的功能,可以提供额外的保护,但代价是可能会导致用户无法恢复数据。不过,我们计划将来通过 Google Authenticator 提供端到端加密。
目前,相信目前的产品对于大多数用户来说已经达到了很好的平衡,并且比离线使用具有显着的优势。然而,对于那些想要自己管理备份策略的人来说,离线使用该应用程序的选项仍然是一个选择。
背景:
静态加密是指对静态数据进行加密。加密可以在数据生成和存储的源处完成。
传输中加密是指对网络两个节点之间发送的数据进行加密。数据可以以未加密的形式存储在源和目标存储系统上。在后一种情况下,数据被解密并转换回明文。
端到端加密是指静态加密和传输加密的组合。一旦数据在源处生成,它就已经以加密格式存储。
只有加密的数据被发送到目的地,并且具有适当描述密钥的用户可以将密文转换为明文并验证原始信息。
