谷歌身份验证器的云端同步功能没有端到端加密

周一，Google Authenticator 推出了将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE)，谷歌今天解释了原因。

Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评，因此从理论上讲，Google 可以获取并复制您的 2FA 代码。

那些非常注重安全并且不相信谷歌（或恶意第三方）不会访问用户数据的人希望通过使用只有他们知道的另一个密钥（或密码）对代码进行端到端加密，让除了他们之外没有人可以访问 2FA 代码。

谷歌今天解释说，Authenticator 的新同步功能的目标是“提供保护用户的功能，但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”，缺点是如果用户忘记或丢失了他们的 Google 帐户密码（或额外的安全层），他们可能“无法恢复自己的数据”。

谷歌“计划为谷歌身份验证器提供 E2EE。” 同时，它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。