谷歌身份验证器的云端同步功能没有端到端加密

谷歌身份验证器的云端同步功能没有端到端加密 周一，Google Authenticator 将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE)，谷歌今天解释了原因。 Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评，因此从理论上讲，Google 可以获取并复制您的 2FA 代码。 那些非常注重安全并且不相信谷歌（或恶意第三方）不会访问用户数据的人希望通过使用只有他们知道的另一个密钥（或密码）对代码进行端到端加密，让除了他们之外没有人可以访问 2FA 代码。 谷歌今天解释说，Authenticator 的新同步功能的目标是“提供保护用户的功能，但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”，缺点是如果用户忘记或丢失了他们的 Google 帐户密码（或额外的安全层），他们可能“无法恢复自己的数据”。 谷歌“计划为谷歌身份验证器提供 E2EE。” 同时，它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据 美国Twilio公司于7月1日宣布，由于未保护的API端点，黑客获得了其多因素认证工具Authy的大量用户电话号码。Twilio已采取措施保护该端点，并不再允许未经认证的请求。公司呼吁用户立即将Authy应用更新到最新版。 6月27日，黑客组织ShinyHunters在暗网发布了从Twilio获取的包含约3300万用户电话号码的CSV文件。文件中包含Authy的账号ID和电话号码。攻击者通过向未保护的API端点输入大量电话号码，获取了有效号码的相关信息。Twilio已保护其API，防止进一步滥用。 Twilio警告称，尽管Authy账号未被侵害，威胁行为者可能会利用关联的电话号码进行钓鱼或短信欺诈攻击，呼吁所有Authy用户提高警惕。公司在2022年也曾遭遇钓鱼攻击，导致客户数据泄露。 ▎新闻来源 频道 @AppDoDo

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将 2FA 代码同步到云端 Google Authenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。 从今天开始，Google Authenticator 现在会将其生成的任何一次性双因素身份验证 (2FA) 代码同步到用户的 Google 帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的 2FA 设置的任何服务。 要利用新的同步功能，只需更新 Authenticator 应用程序即可。如果您在 Google 身份验证器中登录了 Google 帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录 Google 帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。 警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。

#羊毛 #互联网观察 #Password

#羊毛 #互联网观察 #Password ▎Proton Pass ：免费提供 12 个月的付费 Plus服务 由于Dashlane 密码管理器宣布在11月即将收费，Proton Pass宣布Proton Pass Plus 计划特别优惠。 为了帮助 Dashlane 用户进行迁移，通过下面的特殊链接注册的所有新用户免费提供 12 个月的 Proton Pass Plus。Proton Pass Plus 计划通常为3.99美元/月，提供无限制的隐藏我的电子邮件别名、集成的双因素身份验证、多个保险库等服务。 ▎立即切换到 Proton Pass 频道 @AppDoDo

#互联网观察 #Password

#互联网观察 #Password ▎Proton Pass 中文首测：基础尚可，功能缺失 Proton Pass是一款密码管理器，它的基础功能表现良好，且具有漂亮的用户界面。另外，你可以从其他密码管理器导入数据，同时支持和Proton旗下的SimpleLogin配合使用，创建的邮箱别名也会出现在SimpleLogin中。 然而，Proton Pass目前存在一些缺点。它支持的功能还不够多，例如1Password支持文件上传，但是在导入到Proton Pass中会导致文件丢失。此外，Proton Pass还存在一些Bug，例如浏览器插件的自动锁定功能不工作。值得一提的是，它没有像1Password那样完全接管Chrome的密码管理功能，登录时仍会弹出Chrome的“保存当前网页密码吗？”提示。桌面端，包括Windows，macOS和Linux还不提供下载。 Proton Pass的特色在于它可以在Proton生态下与其他Proton产品联动使用，并创建SimpleLogin使用不了的三个新域名。 总结：Proton Pass目前的目标应该只是在Proton生态内并且以前不用密码管理器的用户，目前的Proton Pass缺乏功能且还有一些Bug。我个人会暂时继续坚持使用1Password。 本文来自群友投稿，原创文章。目前软件仅在Visionary和终身用户中测试。 频道 @AppDoDo

#互联网观察 ▎TON：将用户掌纹作为验证数字身份新手段

#互联网观察 ▎TON：将用户掌纹作为验证数字身份新手段 Telegram生态链相关的TON基金会近日宣布，TON Society 与HumanCode 达成合作，推出推出一项价值500万美元的激励计划，引入掌纹扫描技术来验证用户数字身份，以此对标。 HumanCode的技术允许用户通过简单的掌纹扫描自愿确认他们是人类，适用于所有智能手机。这是一种通用的技术，适用于所有浏览器、相机和肤色。该计划旨在在五年内为Telegram 用户提供安全的数字身份。 此公告发布后，TON 币的价格较前一天上涨了约 21%。 ▎TON生态土狗空投项目（完成任务领取） 该土狗币项目的详细说明和指南： 未来仍会持续关注TON生态链发展，频道 @AppDoDo