Google两步骤验证备份功能，可能让钱包被盗！

2023-06-08分类：钱包阅读（）

多数交易所都有导入的Google双重验证机制，最近推出云端备份服务，虽然很方便，却增加了一次性密码外泄风险，用户要注意什么？

Google双重验证推云端同步，币圈也受影响！

为了保障帐号安全，许多人都会使用「两步骤身分验证器（2FA）」，Google Authenticator就是最普遍的工具之一。

当要登入App或网站，在输入帐号密码后，需要再输入一组Google Authenticator每30秒随机产生的6位数一次性密码，目的就是要再一次确认，正在操作的是帐号主人本人。

不过，由于身分验证器的代码储存在手机上，因此如果换手机、手机不见，帐号可能因此遭到锁定，非常麻烦。

今年4月，Google Authenticator宣布进行更新，将开始支援将帐号资讯备份至Google云端帐户，开启备份功能后，用户就能随时在任何装置，使用和管理自己的双重验证代码。

Google在4月下旬宣布Authenticator在Android 6.0和iOS 4.0以上的系统，将开始支援将帐号资讯备份至Google帐户，若开启备份功能后，用户就能随时在任何装置使用和管理自己的双重验证代码。

对用户来说，这项更新看起来更方便了，不过有不少专家却指出，这相当「不安全」。因为同步云端的功能没有端到端加密，也就是说，不只Google可以看到这些数据，甚至还有可能被有心人士利用。

尤其，许多加密货币交易所都有「两步骤双重身分验证」机制，一但有资安漏洞，用户的虚拟资产就会暴露在极高的危险下。

Google安全经理克里斯蒂安布兰德（Christiaan Brand）很快就在推特补充，Google已计划未来加入端到端加密选项，并强调Google相当重视用户的资安。之所以一开始没有导入，是因为在端到端加密的情况下，用户如果遗失帐号密码，就无法自己恢复数据，因此当初没有做这样的选择。

多数的币圈老玩家都对于Google双重验证更新，都抱持谨慎态度，且由于区块链的社群活动紧密，第一时间很多人都会在社群中分享观点、警告安全性；对圈外用户、币圈新手来说，这项更新讨论度并不高。

对交易所来说，资安更是保护用户加密资产的重要关键，多数交易所都有提供帐号绑定Google Authenticator的服务。面对这波更新，许多交易所也纷纷呼吁用户应注意此项更新，并建议关闭云端同步功能。

Google验证器的更新虽然增加了方便性，但由于可以在多台设备上检索与存储，若是用户的Google帐户遭盗用，那么一次性密码就也可能同时被泄露。

Rybit创办人赖永纯表示，Rybit在侦测用户使用不同IP，或异地登入时，也会再以简讯一次性验证码等方式验证身份，以确保用户帐户安全。

ACE法币数字货币交易所执行长王黉骕提醒，「用户自行在线下管理密码，就是最安全的方式，即使用户为求方便用Google帐号密码，也要确保不被泄露他人，更可增加实体安全金钥登入增加复杂度。」

王黉骕建议，坊间提供指纹辨识YubiKey（一种安全金钥）登入，或选择其他非Google的身分双重验证（2FA）等，就能轻松提升用户安全，「不用像为了看密码还要打开保险柜，这样太不方便了。」

最重要的，还是用户对于资安的警觉性，王黉骕提醒，平时要多留意资安相关讯息，了解最新的骇客威胁方式和保护做法。

MaiCoin交易所的资安主管林劭谦则认为，安全的态势是持续变动的，没有一件事是永远安全或不安全。最重要的还是用户要有「零信任」的精神，并且注意在任何服务的验证资讯管理上，不要把密码和双因子，保存在同一个厂牌的密码管理器或是验证器上，以此来分散风险。

面对Google Authenticator的更新，几家本土交易所，是否可能会考虑使用其他身分验证方式呢？

ACE执行长王黉骕表示，ACE除了有绑定用户装置，确认是否为本人操作行为之外，也有另外的独立凭证主机，专门用来验证用户的凭证，每一张凭证仅限本人的同一行动装置使用，若登入不同的行动装置，需要重新申请一张新的凭证，ACE交易所的交易主机内，所有数据内容都是加密及分级用户资料并确保高度安全性。

MaiCoin团队对于各种第三方应用程式，和服务的安全性评估是不间断的，也会持续对使用者的异常行为，和暗网的外泄资料库做监控，来减少使用者的风险。针对帐号认证的议题，除了风控机制外，也会持续对FIDO身分鉴别的相关功能，进行研究和关注。

Rybit所有与用户资产相关的操作，都需绑定二次验证才能使用，必要时系统也会自动启动人脸辨识验证，以再次确保用户帐户安全。Rybit团队也会继续关注、找寻安全使用上友善的身分验证方式。

Tags：