PTT數位生活區 / MobileComm (行動通訊)

Re: [新聞] Google Authenticator開始與Google帳號同步,不必再擔心裝置遺失

看板MobileComm (行動通訊)作者 (function(){})()時間2年前 (2023/05/01 01:24), 2年前編輯推噓15(15079)
留言94則, 20人參與, 最新討論串2/2 (看更多)
04/30 14:30,
但同步等於把2FA存在雲端 這樣不是提高風險嗎?
04/30 14:30
04/30 14:56,
4,雲端=多一個後門
04/30 14:56
沒錯,這就是為什麼要用 end-to-end encryption (E2EE) 有啟用 E2EE 的話,在備份到雲端前,你的 2FA secret token 會用 你設定的密碼加密,並且只傳送加密後的資料到雲端,不會儲存你輸 入的密碼。 只要沒有密碼,沒有人可以解的開你的 2FA 資料,即使暴力破解, 依照目前算力也要花上數千數萬年才解的開。當然,前提是你的密碼 強度夠,如果用什麼 12345678 那三兩下就被人猜到了。 而當你換機時,在新手機開啟同步下載 2FA 資料後,必須用你之前 設定過的密碼解開資料,才能匯入設定。 只是很可惜的,Google Authenticator 並沒有提供 E2EE,所以你的 2FA 資料完全沒有加密就被上傳雲端,所以除了 Google 看得到,如 果你的 Google 帳號被盜、或是你把帳號分享給前男友/前女友,他 們也都看得到。 相較之下 Authy 是有提供 E2EE 的: https://authy.com/blog/how-the-authy-two-factor-backups-work/ 所以現階段而言,所有的資訊安全專家都不推薦啟用 Google Authenticator 的同步功能。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.91.34.68 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1682875465.A.C8A.html ※ 編輯: s25g5d4 (219.91.34.68 臺灣), 05/01/2023 01:24:50
05/01 01:51, 2年前 , 1F
借版詢問,這樣看Yubic是不是最佳解呢?
05/01 01:51, 1F
05/01 02:00, 2年前 , 2F
那微軟蘋果有做端到端加密嗎?
05/01 02:00, 2F
05/01 02:14, 2年前 , 3F
整天被嘴的Authy反而有端對端
05/01 02:14, 3F
05/01 02:14, 2年前 , 4F
看來一堆人真的是半瓶水響叮噹
05/01 02:14, 4F
05/01 02:22, 2年前 , 5F
05/01 02:22, 5F
05/01 02:22, 2年前 , 6F
之前吵imessage藍綠泡泡,當時自家訊息rcs有的有e2e,有
05/01 02:22, 6F
05/01 02:22, 2年前 , 7F
的又沒有加密
05/01 02:22, 7F
05/01 02:44, 2年前 , 8F
當然是拿一隻備用機,把重要的F2A也複製在上面。
05/01 02:44, 8F
05/01 02:44, 2年前 , 9F
沒事這隻手機就是藏好,看要放個人倉庫還是保險箱。
05/01 02:44, 9F
05/01 02:45, 2年前 , 10F
全部都同步的話,想想就可怕。
05/01 02:45, 10F
05/01 03:00, 2年前 , 11F
我看到的討論串都在推Authy,哪裡有整天被嘴…?
05/01 03:00, 11F
05/01 03:56, 2年前 , 12F
有一派現在慢慢變成主流的資安觀點是認為無論如何已加密或
05/01 03:56, 12F
05/01 03:56, 2年前 , 13F
已雜湊的資料都盡量不要放在雲端
05/01 03:56, 13F
05/01 03:56, 2年前 , 14F
之所以要推動passwordless改用2FA或其他認證方式的根本原因
05/01 03:56, 14F
05/01 03:56, 2年前 , 15F
就是因為現在很多公司都在大量蒐集已加密或已雜湊的關鍵資
05/01 03:56, 15F
05/01 03:56, 2年前 , 16F
料,為的就是坐等量子比特數量達到能破256位元RSA的臨界點
05/01 03:56, 16F
05/01 03:56, 2年前 , 17F
這個叫做store now decrypt later attack (SNDL攻擊)
05/01 03:56, 17F
05/01 03:56, 2年前 , 18F
現在幾乎所有資安觀念夠前衛的公司都在慢慢改用passwordles
05/01 03:56, 18F
05/01 03:56, 2年前 , 19F
s,以期儘早刪除儲存的用戶密碼雜湊的目的就是為了避免被SN
05/01 03:56, 19F
05/01 03:56, 2年前 , 20F
DL攻擊
05/01 03:56, 20F
05/01 03:56, 2年前 , 21F
但你現在不用密碼了卻把動態密碼整包加密備份到雲端上,那
05/01 03:56, 21F
05/01 03:56, 2年前 , 22F
不就完全違背了改用passwordless的意義
05/01 03:56, 22F
05/01 03:56, 2年前 , 23F
現在主流password manager處理這個問題的方法是幫你用純隨
05/01 03:56, 23F
05/01 03:56, 2年前 , 24F
機的密碼然後提供一鍵更新密碼的功能或者乾脆自動幫你跟網
05/01 03:56, 24F
05/01 03:56, 2年前 , 25F
站定期改密碼
05/01 03:56, 25F
05/01 03:56, 2年前 , 26F
這樣就算已雜湊的密碼被外洩給SNDL攻擊者,到時候他反雜湊
05/01 03:56, 26F
05/01 03:56, 2年前 , 27F
出來的資料也沒有意義
05/01 03:56, 27F
05/01 03:57, 2年前 , 28F
但動態密碼的更新(重新註冊)到目前為止都還沒有看到成熟
05/01 03:57, 28F
05/01 03:57, 2年前 , 29F
的商業實作
05/01 03:57, 29F
05/01 04:02, 2年前 , 30F
所以我從來不覺得Google authenticator 沒有線上備份功能有
05/01 04:02, 30F
05/01 04:02, 2年前 , 31F
什麼問題
05/01 04:02, 31F
05/01 04:02, 2年前 , 32F
他有匯出的功能,我自己定期會匯出到備用手機上
05/01 04:02, 32F
05/01 04:02, 2年前 , 33F
主要手機遺失/被竊/損毀就從備用手機上再備份回來就好了
05/01 04:02, 33F
05/01 07:25, 2年前 , 34F
我的otp放在keepass裡面 要用yubikey才能解
05/01 07:25, 34F
05/01 10:32, 2年前 , 35F
fido2採用yubikey+webauthn,可見totp擾民也不能防釣魚
05/01 10:32, 35F
05/01 10:50, 2年前 , 36F
GG積蓄用Authy,Google 怎麼只做半套,咳
05/01 10:50, 36F
05/01 11:14, 2年前 , 37F
這串都看不懂
05/01 11:14, 37F
05/01 12:25, 2年前 , 38F
之前google authenticator 的問題就是一定要有兩隻手
05/01 12:25, 38F
05/01 12:25, 2年前 , 39F
機 才會一堆苦主
05/01 12:25, 39F
05/01 13:11, 2年前 , 40F
大家都好厲害
05/01 13:11, 40F
05/01 14:00, 2年前 , 41F
早期的Google連本地備份轉移都沒有,加上他是Google,
05/01 14:00, 41F
05/01 14:00, 2年前 , 42F
所以第一直覺就是當他有雲端同步,結果換手機一裝全空
05/01 14:00, 42F
05/01 14:01, 2年前 , 43F
只能用當初存的QR-Code掃回來或重綁,就直接跳微軟了
05/01 14:01, 43F
05/01 17:02, 2年前 , 44F
這串好多常識 ,感謝大家了
05/01 17:02, 44F
05/01 17:47, 2年前 , 45F
趕緊打開我的authy 裡面只有圖奇==
05/01 17:47, 45F
05/01 18:05, 2年前 , 46F
Authy之前有爆過一次入侵的資安風險。他們是建議平常
05/01 18:05, 46F
05/01 18:05, 2年前 , 47F
把允許多裝置使用關閉(不影響已經新增裝置的使用)。
05/01 18:05, 47F
05/01 18:05, 2年前 , 48F
需要新增裝置再開啟
05/01 18:05, 48F
05/01 18:05, 2年前 , 49F
05/01 18:05, 49F
05/01 18:23, 2年前 , 50F
這點是我選 Authy 不用 MS 的主因,可以多裝置裝完再
05/01 18:23, 50F
05/01 18:23, 2年前 , 51F
鎖起來;MS 限單裝置,常常要走過去拿充電中的手機。
05/01 18:23, 51F
05/01 18:25, 2年前 , 52F
google 那個超級反人類就算了…
05/01 18:25, 52F
05/01 18:25, 2年前 , 53F
當年手機壞掉,四十幾個帳戶重設到崩潰。
05/01 18:25, 53F
05/01 21:38, 2年前 , 54F
05/01 21:38, 54F
05/02 20:23, 2年前 , 55F
我用aegis每天跑一次adb-sync 不過他本身好像可以雲端備份
05/02 20:23, 55F
05/02 20:26, 2年前 , 56F
後來想了想 好像adb pull就可以了
05/02 20:26, 56F
05/10 14:52, , 57F
我要的本來就不是點對點加密 我要的是雲端備份方便
05/10 14:52, 57F
05/10 14:53, , 58F
05/10 14:53, 58F
05/10 20:42, , 59F
不過2fa還是綁手機號碼才是真的
05/10 20:42, 59F
05/10 20:42, , 60F
不能綁手機號碼的2fa都沒什麼意義
05/10 20:42, 60F
05/10 20:43, , 61F
不能綁兩隻以上手機號碼的2fa最好都別開啟
05/10 20:43, 61F
05/10 23:52, , 62F
手機門號系統並不是設計給安全認證用的,SIm Fraud 之類的
05/10 23:52, 62F
05/10 23:52, , 63F
問題解決不了
05/10 23:52, 63F
05/12 07:59, , 64F
用authenticator app的前提是這帳號有真的實名制 例如
05/12 07:59, 64F
05/12 07:59, , 65F
銀行 電信
05/12 07:59, 65F
05/12 07:59, , 66F
不然手機萬一壞了弄丟了 你沒綁手機根本救不回來
05/12 07:59, 66F
05/12 08:00, , 67F
問題是這些帳號或email根本沒有提供實名制或藍勾勾的認
05/12 08:00, 67F
05/12 08:00, , 68F
05/12 08:00, 68F
05/12 08:01, , 69F
為了安全 卻搞丟自己的帳號 根本本末倒置
05/12 08:01, 69F
05/12 08:09, , 70F
我說的實名制認證是給雙證件的那種
05/12 08:09, 70F
05/12 09:43, , 71F
除了中國台灣施行電話號碼實名制的地方,VoIP和eSIM跟水一
05/12 09:43, 71F
05/12 09:43, , 72F
樣在發,電信門號就不是設計給你身份認證用的,台灣是為了
05/12 09:43, 72F
05/12 09:43, , 73F
神奇的理由要門號綁身份才剛好可以順便拿來認人,但系統的
05/12 09:43, 73F
05/12 09:43, , 74F
安全性本來就不是按照身份認證機制的標準在設計,門號停話
05/12 09:43, 74F
05/12 09:43, , 75F
還會被別人申請走
05/12 09:43, 75F
05/12 09:43, , 76F
前幾年小型電信商出來廝殺的時候一堆人辦了一堆line mobile
05/12 09:43, 76F
05/12 09:43, , 77F
台星之類的號碼,拿來辦一堆帳號重複使用每個帳號一次的網
05/12 09:43, 77F
05/12 09:43, , 78F
購免運/外送折扣,現在某些公司大量在撈這些門號
05/12 09:43, 78F
05/12 09:43, , 79F
隔壁手機版就有一篇多年前停話的門號被拿來申請EZway進口申
05/12 09:43, 79F
05/12 09:43, , 80F
05/12 09:43, 80F
05/12 09:43, , 81F
跟美國沒有聯邦級身分證拿勞保號碼搭州政府的駕照一起組合
05/12 09:43, 81F
05/12 09:44, , 82F
起來當身份認證一樣然後一堆破事一樣
05/12 09:44, 82F
05/12 09:44, , 83F
不是用來識別身份的系統便宜行事拿來認證就會有很多問題
05/12 09:44, 83F
05/12 18:26, , 84F
手機控制權至少是掌握在使用者自己手上 手機弄丟我還能
05/12 18:26, 84F
05/12 18:26, , 85F
補發
05/12 18:26, 85F
05/12 18:27, , 86F
authenticator app手機壞了你根本沒救好嗎 不是每個人都
05/12 18:27, 86F
05/12 18:27, , 87F
有兩台手機
05/12 18:27, 87F
05/12 18:27, , 88F
目前就沒有比手機更好的方法的阿
05/12 18:27, 88F
05/12 18:30, , 89F
企業用authenticator app都是因為有一個管理者 員工弄丟
05/12 18:30, 89F
05/12 18:30, , 90F
了可以補發給員工好嗎
05/12 18:30, 90F
05/12 18:30, , 91F
你Gmail outlook根本沒有這種客服機制 不綁手機號碼 裝
05/12 18:30, 91F
05/12 18:30, , 92F
置一壞掉弄丟帳號就掰了
05/12 18:30, 92F
05/12 18:34, , 93F
銀行 你弄丟密碼 提款卡 存摺 為何帳戶還是你的?
05/12 18:34, 93F
05/12 18:34, , 94F
這些網路沒做到銀行這種程度 你還是乖乖用手機號碼吧
05/12 18:34, 94F
更多 s25g5d4 的文章
文章代碼(AID): #1aJgH9oA (MobileComm)
MobileComm 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 s25g5d4 的文章
文章代碼(AID): #1aJgH9oA (MobileComm)