在一个抽象的QR条码矩阵为灵感的背景前的谷歌身份验证器应用图标。

谷歌身份验证使设备转移,没有备份/导出选项

你可能在网上看到过使用第二方身份验证(2FA)应用程序来“保护你的帐户”的呼叫。在线服务将其作为一种提高在线帐户安全性的方法来推广。启用2FA后,您需要知道您的用户名和密码,以及由2FA应用程序生成的一次性使用令牌(四到六位代码)。

When you enable 2FA with an online service, it “installs” a secret into your 2FA app — often by scanning a QR-variety matrix barcode. The client app can then generate a one-time use login token derived from the shared secret. You type in that token when you log in to the service. The service can generate its own token following the same process and compare the two login tokens. If a bad actor intercepts the token, it can only be used once and will be worthless in the future.

大多数实现某种形式2FA的地方的默认选项是Google Authenticator(GA)。或者更确切地说,网站通常会特别指示你使用GA应用程序。GA使用两个开放标准 - RFC-4226RFC-6238 — to derive a single-use log-in token from that shared secret. You can use any app compatible with those standards, but many websites won’t even mention compatibility with anything but GA.

如果你失去了你的秘密2FA会发生什么事,但?使2FA后,你已经致力于存储密码下去。你只是在手机上的应用程序里面存放。手机丢失,被盗或更换每隔一段时间,虽然。

这个问题没有一个普遍的答案。一些服务将允许您删除2FA设备,并允许您仅使用用户名和密码登录。这种方法使得使用2FA完全没有意义。其他服务要求您在从您的帐户中删除2FA要求之前,先跳过一些困难和不便。这种方法不如更严格的2FA策略安全。它为社交工程师进入你的账户打开了大门。如果您失去对2FA设备的访问权限,其他服务仍然不允许您再登录。很多人不允许你从你的帐户中删除你的2FA设备,即使你仍然有权访问它!

更糟的是,它往往找出公司的2FA政策很难甚至是不可能的。根据我的经验,它很少记载。根据我的经验,联系支持很少产生更细节的洞察政策及其实施2FA的能力。

Google Authenticator应用程序没有任何方法备份、导出或从应用程序中传输您的共享机密。您的2FA机密已绑定到单个设备。如果你有技术头脑,你可能知道你可以通过存储设置矩阵条形码的副本来备份共享的秘密。毕竟,它们包含共享的秘密,任何兼容的应用程序都可以读取。

然而,大多数人在丢失或打算更换用于2FA的设备之前,不会意识到他们需要备份或导出2FA机密。您甚至可能记不起哪些在线服务在丢失后会受到存储在设备上的2FA机密的保护。您需要将旧的2FA设备保留一段时间,以防需要它为某个旧登录名生成新代码。

我以前建议不要启用2FA和Google Authenticator(GA)应用程序。然而,最近在这一领域出现了一些积极的发展。,谷歌宣布Ga的5.2版本将推出2FA秘密的设备传输。

新的更新允许您将2FA机密导出到QR变体矩阵条码中,您可以使用安装在另一部手机上的GA应用程序扫描该条码。导出格式完全没有文档记录,但我对二维码中的数据进行了反向工程,并确定它包含一个URL编码的base64编码的protobuf和所有数据。

在我看来,这个专有的大杂烩不符合通用数据保护条例(GDPR)对数据可移植性(第20条)的要求。它指出,必须以结构化、常用和机器可读的格式启用数据可移植性。谷歌倾向于无视这一要求但是。

无论如何,你现在至少有一个传送2FA秘密的选项,只要你在得到新设备之前不丢失旧设备。你不能在应用程序中截图二维码来做简单的备份。我不确定谷歌是如何对手机被盗、被水弄坏、被压在门上、在床下丢了8个月,或是发生了其他意想不到的事情,没有做出解释的。

GA应用程序的新解决方案并不完美,但它比什么都没有要好得多!备份的负担和责任仍然落在毫无戒心的用户身上。甚至没有得到任何培训甚至信息的用户。在了解到需要维护备份之前,您需要为此付出一次代价。

人们不具备安全存储2FA备份所需的知识。这项任务与备份密码管理器. 导出的数据是高价值的风险数字文件。您也不能将2FA机密存储在常规密码管理器中。这将破坏第二个身份验证因素的目的。

在技术安全行业,人们经常谈论安全性和便利性之间的权衡。2FA很难使用。我建议不要使用2FA - 而不仅仅是Google Authenticator应用程序–除非你花时间去了解该技术,可以保证你备份你的2FA的秘密。这是不方便的,它的困难和费时的事情。