谷歌新的 2FA 身份验证器云备份的风险

谷歌发布了其流行的身份验证器应用程序的更新，该应用程序在云存储中存储了一个“一次性代码”，允许丢失设备及其身份验证器的用户保留对双因素身份验证 (2FA) 的访问权限。

在 4 月 24 日的博客中邮件在宣布这一更新时，谷歌表示一次性使用令牌将存储在用户的谷歌账户中，声称用户将“更好地保护自己不被锁定”，并将增加“便利性和安全性”。

4 月 26 日，Reddit 邮件在 r/Cryptocurrency 论坛上，Redditor u/pojut 写道，虽然更新通过应用验证器来帮助那些丢失设备的人，但它也使他们更容易受到黑客攻击。

通过将其保存在与用户的谷歌帐户关联的云存储中，这意味着任何获得用户谷歌密码访问权限的人都将可以完全访问与身份验证器关联的应用程序。

用户建议解决 SMS 2FA 问题的一种可能方法是使用专门用于存放您的身份验证应用程序的旧手机。

我还强烈建议，如果可能的话，你应该有一个单独的设备（可能是旧手机或旧平板电脑），其生活的唯一目的是用于你选择的身份验证应用程序。不要在上面保留任何其他东西，最后用它做任何事情”。

同样，网络安全开发人员捕捉带去推特警告谷歌基于云的 2FA 解决方案带来的额外复杂性。

对于使用 Google Authenticator for 2FA 登录加密货币交易账户和其他金融相关服务的用户来说，这可能是一个主要问题。

最常见的 2FA 黑客攻击是一种称为“SIM 交换”的身份欺诈，诈骗者通过诱骗电信提供商将号码与其 SIM 卡相关联来控制电话号码。

最近的一个例子是针对美国加密货币交易所 Coinbase 提起的诉讼，其中一位客户声称他在成为此类攻击的受害者后损失了“90% 的积蓄”。

值得注意的是，Coinbase 本身鼓励使用验证器应用程序进行 2FA 而不是 SMS，说明 SMS 2FA 是“最不安全”的身份验证形式。

有关的： 外国资产控制办公室正在制裁将加密货币转移到朝鲜拉撒路集团的场外交易商

在 Reddit 上，用户讨论了诉讼并建议禁止 SMS 2FA，尽管一位 Reddit 用户指出，它是目前可用于许多金融科技和加密相关服务的唯一身份验证选项：

“不幸的是，我使用的服务中还没有很多提供 Authenticator 2FA。但我绝对认为 SMS 方法已被证明是不安全的，应该被禁止。”

区块链安全公司 CertiK 就使用 SMS 2FA 的危险发出了警告，安全专家 Jesse Leclere 告诉 Cointelegraph，“SMS 2FA 总比没有好，但它是目前使用最广泛的 2FA 形式。”

杂志： 十分之四的假 NFT 销售：学会发现洗钱交易的迹象