谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将2FA代码同步到云端GoogleAuthenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。从今天开始，GoogleAuthenticator现在会将其生成的任何一次性双因素身份验证(2FA)代码同步到用户的Google帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的2FA设置的任何服务。要利用新的同步功能，只需更新Authenticator应用程序即可。如果您在Google身份验证器中登录了Google帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录Google帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。——

【观点：Google 身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】

【观点：Google身份验证器云同步功能将风险转移到邮箱，加密用户需注意风险】慢雾首席信息安全官23pds发推表示，Google身份验证器iOS端推出了支持云同步功能的4.0版本，但需注意存在的风险：如果使用这种备份方式，风险就转移到邮箱，一旦邮箱权限丢失可能导致2FA验证码一并被窃取，（如果）再配合已获取的邮箱权限，将带来巨大风险。所以便捷的同时可能存在风险，加密用户请注意使用风险。此前报道，Google身份验证器的iOS端应用推出4.0版本，新增支持云同步功能，用户可将验证器生成的验证码同步至所有的Google账号和设备，即便丢失设备也可随时获取验证码。

Google新发布基于云的Authentication应用被指并未实施端到端加密

Google新发布基于云的Authentication应用被指并未实施端到端加密"我们分析了应用程序同步秘密时的网络流量，结果发现流量不是端对端加密的，"Mysk通过Twitter说，正如Gizmodo周三早些时候所报道的。"如截图所示，这意味着Google可以看到这些秘密，甚至可能在它们存储在他们的服务器上的时候。没有选项可以添加口令来保护秘密。"秘密是网络安全的行话，指用于解锁受保护或敏感信息的私人信息，因此，Mysk的安全研究人员建议人们不要开启跨设备和云端同步2FA密码的功能。2FA功能允许用户在手机丢失或被盗的情况下仍然可以访问代码。这意味着Gmail、银行应用程序或其他大量允许2FA的服务仍然可以通过Google账户访问代码，即使原始设备不能立即使用。不幸的是，启用该功能缺乏同样的加密水平--至少目前是这样。"端对端加密（E2EE）是一个强大的功能，它提供了额外的保护，但代价是使用户被锁定在自己的数据之外而无法恢复，"一位Google发言人通过电子邮件回应。"为了确保我们为用户提供一整套选择，我们也开始在我们的一些产品中推出可选的E2EE，我们计划在未来为GoogleAuthenticator提供E2EE。"Google表示，它以这种初始方式提供该功能是为了方便。2FA在你的密码之上提供了一个额外的安全层。通过Authenticator应用程序生成的额外代码可以防止不良分子仅凭密码登录你的账户。然而，对于大科技公司来说，密码最终是一种脆弱和无效的保持账户安全的方式。Google、苹果和微软已经联合成立了FIDO联盟，即"在线快速身份认证"的简称。其目标是让网站放弃密码，改用生物识别登录。这可以包括指纹扫描或面部扫描。它也可以包括电话验证。将网站转向"无密码的未来"需要时间，在此之前，2FA仍将是保持账户安全的重要方式。...PC版：https://www.cnbeta.com.tw/articles/soft/1356967.htm手机版：https://m.cnbeta.com.tw/view/1356967.htm

继私聊后，谷歌将对 Android Messages 群聊进行端到端加密

继私聊后，谷歌将对AndroidMessages群聊进行端到端加密早在2020年11月，谷歌便已开始在Messages中测试端到端加密（E2EE），以确保用户信息的隐私安全。并且谷歌方面在今年的I/O开发者大会中表示，将于今年年底推出用于群聊的E2EE测试版。不过目前Messages群组聊天的端到端加密功能只对参与测试计划的用户开放，如果想要进行尝试，用户可自行申请加入测试计划。事实上，诸多电信运营商与手机厂商在过去几年中都陆续加入了RCS，以提供高质量照片和视频、已读回执和E2EE等功能。但现有的SMS格式并不支持其中任何一项，尽管如此，目前仍然有一家公司继续对RCS嗤之以鼻，那就是苹果。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

谷歌向企业和教育机构推出Gmail端对端加密功能

谷歌向企业和教育机构推出Gmail端对端加密功能该功能使得即使谷歌本身也无法看到其托管的电子邮件内容，数据“在到达谷歌服务器之前被加密”。在周二的一篇博客文章中，谷歌写道，Gmail的客户端加密让客户“可以单独控制他们的加密密钥——从而完全控制对其数据的所有访问。”用户可以加密他们在组织内发送的电子邮件，以及他们发送给其他方的电子邮件，即使收件人不使用Gmail也是如此。但是，该功能并不适用于所有人——它仅适用于拥有WorkspaceEnterprisePlus、EducationStandard或EducationPlus帐户的人员，而不适用于个人帐户。它的设置也不是特别容易，因为该过程似乎是针对IT部门的。虽然Gmail可以说是最重要的客户端加密应用程序之一，但谷歌还推出了将该功能用于其他几个Workspace应用程序的选项，例如Drive、Docs和Meet。——

▎谷歌验证器：云同步功能已成为网络安全威胁

#互联网观察▎谷歌验证器：云同步功能已成为网络安全威胁总部位于旧金山的软件开发公司Retool透露，其27名云客户的账户在一次有针对性的SMS社交工程攻击后被侵犯，并指责谷歌验证器近期新推出的云同步功能使得这次侵犯更加严重，称其为“darkpattern”。“谷歌验证器能够同步到云是一个新的攻击途径”，Retool的工程主管SnirKodesh说。“我们原本实施的是多因素认证。但通过这次谷歌的更新，之前的多因素认证悄无声息地（对管理员来说）变成了单因素认证。”黑客通过SMS钓鱼攻击诱使员工点击一个假的链接，之后通过电话深度伪造员工的“真实声音”，获取多因素认证代码。由于员工使用了谷歌验证器的云同步功能，为攻击者提供了更多的访问权限，因此间接导致该公司损失了价值1500万美元的加密货币。▎一些建议由于谷歌验证器支持云功能后不再百分百安全，因此建议大家考虑使用FIDO2兼容的硬件安全钥匙或通行证，这可以提供一个更为安全的验证方法，从而抵抗钓鱼攻击。频道@AppDoDo