macOS端Chrome即将允许用户使用Touch ID访问/编辑/复制已保存密码

macOS端Chrome即将允许用户使用TouchID访问/编辑/复制已保存密码Windows端Chrome浏览器在用户尝试查看和编辑已保存的密码时候，需要用户输入设备密码。Google现在正提高安全等级，提供了生物识别方式来验证用户身份。例如在笔记本上，用户可以使用指纹传感器来识别来访问密码。而现在在macOS设备上，用户即将可以使用TouchID来访问这些密码。在Android设备上，如果想要访问和编辑已经保存的密码，需要使用指纹或者PIN码；在Windows设备上，Chrome要求输入Windows的开机密码来识别。而在macOS设备上，Chrome现在允许用户使用TouchID来访问这些密码。在适用于macOS的Chrome106版本中，Google新增了“biometricauthenticationinSettings”的实验Flag选项，在该功能描述中写道“在设置中访问/编辑/复制密码可以启用生物识别认证”。该功能告诉Mac用户可以使用touchID来确认他们的身份，而不是输入密码。目前，在撰写本文时，启用该标志后，当您访问“设置”>“自动填充”>“密码管理器”时，生物识别身份验证设置不会显示。随着工作的进展，预计该功能将在未来生效。PC版：https://www.cnbeta.com/articles/soft/1302393.htm手机版：https://m.cnbeta.com/view/1302393.htm

Google Authenticator 如何使一家公司的网络漏洞变得更加严重

GoogleAuthenticator如何使一家公司的网络漏洞变得更加严重Retool公司了其客户支持系统遭到入侵的情况，攻击者通过谷歌身份验证器（GoogleAuthenticator）的同步功能入侵了27个加密货币行业的客户账户。攻击始于一名员工点击了一条短信中的链接，泄露了谷歌身份验证器中的密码和临时一次性密码。攻击者还通过电话获取了额外的多因素代码，并添加了自己的设备到员工的Okta账户中。谷歌最近发布的功能，可将MFA代码同步到云端。如指出的那样，这是非常不安全的，因为如果你的Google帐户被泄露，那么你的MFA代码也会被泄露。Retool指出，谷歌身份验证器的同步功能加剧了入侵的严重性，呼吁谷歌删除该功能或提供禁用选项。同时还强调规范的多因素身份验证是安全的标准，而基于TOTP的身份验证容易受到网络钓鱼攻击。参考：；来源：ViaDaneelGod投稿：@ZaiHuaBot频道：@TestFlightCN

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将2FA代码同步到云端GoogleAuthenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。从今天开始，GoogleAuthenticator现在会将其生成的任何一次性双因素身份验证(2FA)代码同步到用户的Google帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的2FA设置的任何服务。要利用新的同步功能，只需更新Authenticator应用程序即可。如果您在Google身份验证器中登录了Google帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录Google帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。——

微软向所有用户开放无密码登录功能

微软向所有用户开放无密码登录功能微软日前宣布该公司将在未来几周内向所有用户提供无密码登录体验，届时用户可主动将密码从账户里彻底删除。取而代之的是WindowsHello生物识别验证、微软身份验证器、安全密钥、短信验证码或者邮件验证码等登录。其中WindowsHello支持指纹、虹膜、PIN码快速验证, 而身份验证器支持通过选择数字或人脸识别完成验证。基于开放系统构建的FIDO2类安全密钥也可以直接验证, 若上述验证都不起作用用户还可以用短信或邮件验证。（，）别！一个短信验证码就能登录账户我是不放心的。

谷歌身份验证器的云端同步功能没有端到端加密

谷歌身份验证器的云端同步功能没有端到端加密周一，GoogleAuthenticator将2FA代码同步到您的Google帐户的功能。后来发现该功能不是端到端加密的(E2EE)，谷歌今天解释了原因。Mysk的安全研究人员昨天对GoogleAuthenticator的新同步功能不是端到端加密(E2EE)提出批评，因此从理论上讲，Google可以获取并复制您的2FA代码。那些非常注重安全并且不相信谷歌（或恶意第三方）不会访问用户数据的人希望通过使用只有他们知道的另一个密钥（或密码）对代码进行端到端加密，让除了他们之外没有人可以访问2FA代码。谷歌今天解释说，Authenticator的新同步功能的目标是“提供保护用户的功能，但又实用又方便。”承认“E2EE是一项提供额外保护的强大功能”，缺点是如果用户忘记或丢失了他们的Google帐户密码（或额外的安全层），他们可能“无法恢复自己的数据”。谷歌“计划为谷歌身份验证器提供E2EE。”同时，它提醒用户他们可以在离线/不同步Google帐户的情况下继续使用该应用程序。——

苹果 iOS 17.3 正式版发布，增加被盗设备保护功能

苹果iOS17.3正式版发布，增加被盗设备保护功能苹果iOS17.3已发布，它配备了一项新的安全功能—“盗设备保护”，启用后，当用户执行某些隐私操作时将要求使用FaceID或TouchID身份验证，例如查看保存的密码或申请新的AppleCard。该功能还在执行更敏感的操作时引入了等待期。苹果在iOS17.3更新说明中表示，“安全延迟要求使用FaceID或TouchID，等待一小时，然后再进行一次成功的生物识别验证，才能执行更改设备密码或AppleID密码等敏感操作。”据苹果公司称，只有当你离开“熟悉的地点，如家或工作地点”时，你的iPhone才需要这一额外的身份验证层。此外，苹果公司还在iOS17.3和macOS14.3中引入了协作播放列表。——