谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将2FA代码同步到云端GoogleAuthenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。从今天开始，GoogleAuthenticator现在会将其生成的任何一次性双因素身份验证(2FA)代码同步到用户的Google帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的2FA设置的任何服务。要利用新的同步功能，只需更新Authenticator应用程序即可。如果您在Google身份验证器中登录了Google帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录Google帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。——

Bitwarden推出开源免费独立的多因素认证器Bitwarden Authenticator

Bitwarden推出开源免费独立的多因素认证器BitwardenAuthenticator用户可以下载安装这款验证器并绑定各类网站，然后生成基于时间的一次性密码(TOTP)，在执行账户登录时除了需要账户和密码外，还需要输入一次性验证码才能完成登录。对个人用户来说：这款验证器和谷歌身份验证器、微软身份验证器的功能相同，特点在于完全开源，相较于微软身份验证器来说更加简洁，即便用户完全离线也可以使用。对企业用户来说：Bitwarden计划在未来为这款验证器添加企业级精细管理功能，即企业IT管理员将可以在企业内部批量实施MFA验证，然后对不同的员工账号和权限进行精细化控制，满足企业对增强安全性的需求。作为业界领先的开源免费密码管理器提供商，Bitwarden此次推出的身份验证器继续采用开源免费策略，为所有行业的企业和机构提供一个更安心的验证工具。这也可以吸引更多用户采用多因素认证功能来提高账户安全性，对用户来说，但凡网站或服务支持绑定多因素认证功能那就应该都绑定，这可以大幅度提高账户安全性，包括应对密码泄露、撞库和疲劳攻击等。现在所有用户都可以通过苹果的AppStore和谷歌的GooglePlay商店下载BitwardenAuthenticator，无需注册账户、下载后即可使用，但请注意：在网站或服务中开通MFA时记得将备用代码保存。从蓝点网文件服务器下载：https://dl.lancdn.com/landian/apps/bitwarden-authenticator...PC版：https://www.cnbeta.com.tw/articles/soft/1429443.htm手机版：https://m.cnbeta.com.tw/view/1429443.htm

Microsoft Authenticator 应用将抑制“有风险”的通知

MicrosoftAuthenticator应用将抑制“有风险”的通知当用户启用多因素身份验证(MFA)后，攻击者可能会恼羞成怒，会反复尝试登录，导致用户因大量通知而产生“MFA疲劳”。为此，微软采取了额外的措施，微软的身份验证器现在将抑制可疑登录的通知。部署此功能后，微软现在会在请求显示潜在风险时（例如当请求来自不熟悉的位置或出现其他异常情况时）抑制身份验证器通知。这种方法通过消除不相关的身份验证提示，显着减少了用户的不便。如果微软认为你登录请求有风险，你则需要手动打开身份验证器应用并输入显示的号码进行登录，而用户的手机上不会显示相应的通知。——

谷歌身份验证器的云端同步功能没有端到端加密

谷歌身份验证器的云端同步功能没有端到端加密周一，GoogleAuthenticator将2FA代码同步到您的Google帐户的功能。后来发现该功能不是端到端加密的(E2EE)，谷歌今天解释了原因。Mysk的安全研究人员昨天对GoogleAuthenticator的新同步功能不是端到端加密(E2EE)提出批评，因此从理论上讲，Google可以获取并复制您的2FA代码。那些非常注重安全并且不相信谷歌（或恶意第三方）不会访问用户数据的人希望通过使用只有他们知道的另一个密钥（或密码）对代码进行端到端加密，让除了他们之外没有人可以访问2FA代码。谷歌今天解释说，Authenticator的新同步功能的目标是“提供保护用户的功能，但又实用又方便。”承认“E2EE是一项提供额外保护的强大功能”，缺点是如果用户忘记或丢失了他们的Google帐户密码（或额外的安全层），他们可能“无法恢复自己的数据”。谷歌“计划为谷歌身份验证器提供E2EE。”同时，它提醒用户他们可以在离线/不同步Google帐户的情况下继续使用该应用程序。——

【观点：Google 身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】

【观点：Google身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】慢雾首席信息安全官23pds发推表示，Google身份验证器iOS端推出了支持云同步功能的4.0版本，但需注意存在的风险：如果使用这种备份方式，风险就转移到邮箱，一旦邮箱权限丢失可能导致2FA验证码一并被窃取，（如果）再配合已获取的邮箱权限，将带来巨大风险。所以便捷的同时可能存在风险，加密用户请注意使用风险。此前报道，Google身份验证器的iOS端应用推出4.0版本，新增支持云同步功能，用户可将验证器生成的验证码同步至所有的Google账号和设备，即便丢失设备也可随时获取验证码。

知名多因素身份验证器Authy发生数据泄露，涉及3,342万用户敏感信息

知名多因素身份验证器Authy发生数据泄露，涉及3,342万用户敏感信息Authy，一个广受欢迎的多因素认证工具，近期遭遇了数据泄露事件，影响了3,342万名用户。此次泄露并非由于黑客入侵，而是由于Authy的API接口缺乏严格的身份验证，导致攻击者能够通过批量生成手机号码匹配并获取用户数据。泄露的信息包括账户ID、电话号码、账户状态和设备数量等。尽管用户账号密码未被泄露，但手机号码的泄露可能引发针对性的钓鱼攻击或更复杂的SIM换卡攻击。Authy的开发商Twilio已确认数据泄露事件的真实性，并建议用户转移到其他身份验证器，并关闭Authy的手机号码登录功能以防范潜在的SIM换卡攻击。目前，对于已泄露的数据没有有效的补救措施，用户需提高警惕，采取必要措施保护自己的信息安全。关注频道@ZaiHuaPd频道爆料@ZaiHuabot