Google Authenticator更新後開放同步谷歌帳號，引發資安疑慮

谷歌雙重驗證服務 Google Authenticator 在更新後已能自選啟動同步功能，但是否該與谷歌帳號同步，引起許多討論。

Google Authenticator已能同步谷歌帳號

據公告，谷歌在 4 月 24 日同步對 iOS、Android 的 Google Authenticator 進行更新，用戶在更新會發現 App 的 LOGO、介面皆與已往不同。

如同 Gmail，用戶在更新後已能用不同的谷歌帳號登入 Google Authenticator，同時谷歌也會將一次性密碼備份到用戶的谷歌帳號。

如此一來用戶無論是「更換手機」、「不慎遺失手機」都能透過一次性密碼來找回此前在 Google Authenticator 上的所有驗證碼。

當然用戶也能選擇以「非登入狀態」，也就是更新前的版本來使用 Google Authenticator。

這也是許多安全專家建議的使用方式。

Google Authenticator 同步更容易受駭客攻擊

美國論壇 Reddit 對此更新有許多討論，大多數人皆建議不要進行同步，網友們的意見還包括：

• 轉用其它 2FA 驗證器

• 用其它 2FA 驗證器來鎖定 Google Authenticator，如 YubiKey。

• 僅將 Google Authenticator 同步到舊手機而非雲端帳號，能防止現有手機遺失。

安全研究員 Mysk 也推文強調，千萬別開啟同步功能。

其指出在研究同步功能後發現，這並沒有點對點加密機制，這代表：

• 谷歌可以訪問所有驗證碼。

• 谷歌能更了解用戶數據，如用戶使用了 Twitter、Amazon 等等。

谷歌：持續優化

谷歌在公告中表示，同步功能是由於許多用戶不斷反饋才推出，遺失手機、電腦代表用戶將無法使用透過 Authenticator 設定驗證碼的所有服務。

谷歌也強調正努力推動去密碼化，但考量到驗證碼是目前資安的重要環節，他們仍會持續優化 Google Authenticator。