我们在使用 2FA 的时候需要使用一次性的验证码,微软、Google 都有相应的软件生成验证码。以前有介绍过 Google Authenticator,在 2020 年 12 月份的更新中,添加了导出的功能,这样我们就可以把密钥备份到备用机上。避免手机遗失导致无法访问验证码的问题。
昨天,Google 推出了新的功能,只要升级到最新的版本,就可以把密钥备份保存到 Google 账户里,在新的手机上打开 Google Authenticator 登录 Google 账户,就可以恢复密钥。
这个功能确实实用,但是把密钥备份到 Google 上,安全性怎么样?存储在 Google 的数据是不是有过加密?针对安全性比较高的,我们都倡导物理隔离、冷备份,目的就是不上网。
其实备份 Google Authenticator 除了导出到备用机上,另外一种方式就是保存好创建时候的二维码,换手机后,可以直接扫二维码获取二次验证码。
试玩了一下把 Google Authenticator 密钥备份到 Google 上,我又取消了,还是本地安全。
2023 年 4 月 27日更新:
Mysk 对 Google Authenticator 传输的密钥数据进行了分析,发现传输过程中没有端对端加密。Google 能够看到存储在他们服务器上的密钥,这个密钥用来生成一次性验证码,如果 Google 能看到密钥,他们就能生成一次性的验证码。