Комментарии 17
Очередной случай, когда 2FA превращается в 0.75FA из-за уступок удобству
Интересно в 2fas auth тоже самое? У них тоже есть синхронизация с google drive.
Возможно сейчас будет очевидный вопрос, но как бэкапить данные из Google Authenticator?
Нашёл только импорт/экспорт и сейчас добавилось хранение в облаке. А если я локально в архив на комп хочу скинуть? Или мне для бэкапа запасной телефон покупать только?
Внизу вон предложили срисовать на листочек. Ещё можно сфоткать телефон (да, звучит глупо, но скриншоты оно блокирует).
достаточно просто заменить гугловый аутентификатор на любой вменяемый, например keepass или freeotp, в целом решений валом, даже flipper можно использовать в качестве totp (и это будет пожалуй самое секурное решение)
ну а при наличии рута на андроиде можно и гуглоаутентификатор бекапить (говорят без рута через adb тоже как-то можно, но у меня не получилось).
ну а при наличии рута на андроиде можно и гуглоаутентификатор бекапить
Это в теории, или какие-то существующие программы-бэкапилки это умеют?
Просто в Android есть прикол с т.н. Android Keystore, где секретные данные привязаны к устройству и/или инсталяции прошивки (такой аналог TPM). И я уже натыкался, что бэкап вроде сделался, а приложение либо всё потеряло, либо вообще крашится при запуске из-за фантомных данных, которые не получается прочесть.
это не в теории а на практике, я так делал пока не поумнел и не переехал своими ключами в keepass (одна база с паролями, другая с totp аутентификаторами)
правда я не юзал для этих целей никакое спец ПО, у меня работал какой-то форк cron на уровне системы а не прикладных приложений и в нём была задача tar+scp раз в сутки.
точно не скажу так как уэе не один год как отказался от этого решения и последний телефон у меня даже без рутовых прав..
2fas auth умеет локальный бэкап с шифрованием + доступно в fdroid
Куаркоды и их символьные эквиваленты можно же бэкапить и восстанавливать потом на любом 2FA аутентификаторе! Можно даже на листочке забекапить.
У Aegis тоже облачный бэкап добавили, но он доступен только для зашифрованных хранилищ.
Не "не шифрует", а "не шифрует End-To-End", обычный TLS при передаче на сервер никто не отменял, не пугайте людей. Проблема будет только, если будут взломаны сервера гугла.
Все это выглядит еще непонятней, учитывая что когда они passkeys рекламировали, то сделали (наверное) нормальную безопасную синхронизацию ключей, где на серверах Гугла никаких секретов, поддающихся расшифровке злодеем, нет.
Что удивительного если у компании основной профит от слежки за пользователями.
Эксперты: обновление Google Authenticator не шифрует коды 2FA при передаче в облако