谷歌身份验证器的云端同步功能没有端到端加密

谷歌身份验证器的云端同步功能没有端到端加密周一，GoogleAuthenticator将2FA代码同步到您的Google帐户的功能。后来发现该功能不是端到端加密的(E2EE)，谷歌今天解释了原因。Mysk的安全研究人员昨天对GoogleAuthenticator的新同步功能不是端到端加密(E2EE)提出批评，因此从理论上讲，Google可以获取并复制您的2FA代码。那些非常注重安全并且不相信谷歌（或恶意第三方）不会访问用户数据的人希望通过使用只有他们知道的另一个密钥（或密码）对代码进行端到端加密，让除了他们之外没有人可以访问2FA代码。谷歌今天解释说，Authenticator的新同步功能的目标是“提供保护用户的功能，但又实用又方便。”承认“E2EE是一项提供额外保护的强大功能”，缺点是如果用户忘记或丢失了他们的Google帐户密码（或额外的安全层），他们可能“无法恢复自己的数据”。谷歌“计划为谷歌身份验证器提供E2EE。”同时，它提醒用户他们可以在离线/不同步Google帐户的情况下继续使用该应用程序。——

【观点：Google 身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】

【观点：Google身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】慢雾首席信息安全官23pds发推表示，Google身份验证器iOS端推出了支持云同步功能的4.0版本，但需注意存在的风险：如果使用这种备份方式，风险就转移到邮箱，一旦邮箱权限丢失可能导致2FA验证码一并被窃取，（如果）再配合已获取的邮箱权限，将带来巨大风险。所以便捷的同时可能存在风险，加密用户请注意使用风险。此前报道，Google身份验证器的iOS端应用推出4.0版本，新增支持云同步功能，用户可将验证器生成的验证码同步至所有的Google账号和设备，即便丢失设备也可随时获取验证码。

谷歌正在改变设置双重身份验证的方式

谷歌正在改变设置双重身份验证的方式谷歌公司正在简化设置双重身份验证(2FA)的流程。现在，您不需要先输入电话号码来启用2FA，而是可以直接为您的账户添加“第二步验证方式”，例如身份验证器应用或硬件安全密钥来进行设置。这应该使启用2FA更安全，因为可避免使用不太安全的短信验证。您可以选择通过GoogleAuthenticator等应用输入基于时间的一次性验证码，或者按照步骤链接硬件安全密钥。谷歌正在推出这一更改。——

Google 帐户现在支持使用密钥代替密码和 2FA

Google帐户现在支持使用密钥代替密码和2FA谷歌迈向无密码未来​的下一步是Passkeys，一种需要预先验证设备的新加密Passkeys解决方案——将用于所有主要平台上的谷歌账户。从今天开始，谷歌用户可以在登录时切换到Passkeys，完全放弃密码和两步验证码。Passkeys是一种更安全、更方便的密码替代方案，由谷歌、苹果、微软和其他与FIDO联盟结盟的科技公司推出。他们可以用本地PIN或设备自身的生物识别身份验证（如指纹或面部ID）取代传统密码和其他登录系统，如2FA或SMS验证。此生物识别数据不会与Google（或任何其他第三方）共享，并且Passkeys仅存在于您的设备上，这提供了更高的安全性和保护，因为没有可能在网络钓鱼攻击中被盗的密码。当您向Google帐户添加密钥时，该平台将在您登录时或检测到需要额外验证的潜在可疑活动时开始提示您输入密钥。谷歌账户的密码存储在任何兼容的硬件上——例如运行iOS16的iPhone和运行Android9的安卓设备——并且可以使用iCloud等服务或Dashlane和1Password等密码管理器（预计在“2023年初”）。您仍然可以使用其他人的设备临时访问您的Google帐户。选择“使用另一台设备的Passkeys”选项会创建一次性登录，不会将Passkeys转移到新硬件。正如谷歌指出的那样，你永远不应该在共享设备上创建密钥，因为任何可以访问和解锁该设备的人都可以访问你的谷歌帐户。如果用户怀疑其他人可以访问该帐户，或者如果他们丢失了唯一存储密钥的设备，则用户可以立即在Google帐户设置中撤销Passkeys。谷歌表示，注册其的用户可以选择使用Passkeys代替他们通常的物理安全密钥，这是一项免费服务，可提供针对网络钓鱼和恶意应用程序的额外安全保护。——

Twitter 宣布短信 2FA 方式收费后，苹果 App Store 上涌现了大量诈骗身份验证应用

Twitter宣布短信2FA方式收费后，苹果AppStore上涌现了大量诈骗身份验证应用Twitter日前宣布，将于3月20日开始，非TwitterBlue订阅用户不再支持短信方式的双因素验证（2FA）。在该公告发布之后，苹果AppStore上涌现了大量以诈骗为目的的身份验证应用。开发人员和安全研究员Mysk率先注意到这个问题，IT之家翻译他的推文如下：“这些身份验证应用程序以免费应用方式上架，用户扫描二维码之前需要购买订阅，费用为40美元/年，有3天免费试用期”。Mysk质疑苹果AppStore为何能够批准这些应用上架，表示这些应用明显以欺诈目的上架。普通用户无法分辨这些应用的真假，非常容易中招。前文：来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

23andMe 数据失窃促使相关的 DNA 检测公司默认开启 2FA

23andMe数据失窃促使相关的DNA检测公司默认开启2FA在DNA基因测试巨头23andMe数百万用户记录被盗之后，数家DNA测试和族谱公司正在通过强制使用双因素身份验证来加强用户帐户的安全性。Ancestry、MyHeritage和23andMe已开始通知客户，他们的帐户将默认使用双因素(2FA)，这是一种安全功能，要求用户输入发送到他们拥有的设备的附加验证码，以确认登录者是真正的账户持有人。Ancestry向客户发送电子邮件称，该公司将“要求两步验证”，要求客户通过向他们的电话或电子邮件地址发送代码来登录。来源