小心幣被盜！Google驗證程式更新「這功能」，專家警告：很危險

Google Authenticator 新增「雲端同步」，恐帶來巨大風險

Google 在週一（24 日）宣布，已經推出 2FA 兩步驟驗證程式「Google Authenticator」的最新版本 4.0，圖示從灰色變成四色。用戶在更新完之後，可以使用「雲端同步」功能，把一次性的驗證碼（OTP）同步到 Google 帳號中，但區塊鏈資安公司卻警告，這個新功能恐會讓比特幣、以太坊等加密貨幣資產被盜，為什麼？

區塊鏈資安公司慢霧（Slow Mist）昨日發推文警告：

「如果使用雲端同步功能，一旦失去了使用 Google 帳號的權限，用戶的 2FA 驗證碼就可能會被偷，帶來巨大的風險。請注意相關風險。」

簡單來說，由於新版 Google Authenticator 產生的所有一次性驗證碼，都能同步到 Google 帳號中，所以就算弄丟了手機，也不用擔心收不到驗證碼。然而，若用戶的 Google 帳號被盜，就代表這些驗證碼可能都會被駭客知道。

假設你曾把 Google Authenticator 當成是能訪問加密貨幣資產 APP 的驗證工具，就會讓這些資產面臨被盜的風險。外媒《Bitcoinist》也建議，加密貨幣用戶在考慮是否要更新 Google Authenticator 時，應該要三思而後行。

防範丟手機，驗證工具同步密碼成主流？

由於駭客的手法越來越多，目前大部分牽扯到資金的 APP（如銀行、證券等）都採用了兩步驟驗證，用手機簡訊收 OTP 碼做雙重確認，但依然有風險。而 2010 年推出的 Google Authenticator，由於可產生具時效性的隨機驗證碼，也成為許多 iOS、安卓用戶愛用的驗證工具。

不過，若是更換手機或弄丟手機時，沒有事先把 Google Authenticator 轉移到新設備上，就會無法登入很多帳號，延伸出很多麻煩，這也是 Google 會推出更新版的原因。其實，把 2FA 驗證碼同步到雲端的方式，已經變得越來越普遍。譬如，知名驗證工具 Authy 就主打人性化設計，早已提供雲端同步功能，用戶可設置多個設備使用。若不幸誤刪到 2FA 帳號時，也可以在指定時間內復原。

據《The Verge》報導，Google 發言人 Kimberly Samra 表示，用戶完全可以自由選擇是否開啟「雲端同步」功能，但開啟後也必須承受延伸出來的風險。他透露：

「雖然我們正在推動無密碼的未來，但身份驗證工具目前仍是組成網路安全的重要部分。因此，我們仍會繼續改善與優化 Google Authenticator APP。」

原文連結