Google兩步驟驗證「備份」恐讓錢包被盜！台灣本土交易所怎麼看？

Google 雙重驗證推「雲端同步」，幣圈也受影響！

為了保障帳號安全，許多人都會使用「兩步驟身分驗證器（2FA）」，Google Authenticator 就是最普遍的工具之一。

當要登入 App 或網站，在輸入帳號密碼後，需要再輸入一組 Google Authenticator 每 30 秒隨機產生的 6 位數一次性密碼，目的就是要再一次確認，正在操作的是帳號主人本人。

不過，由於身分驗證器的代碼儲存在手機上，因此如果換手機、手機不見，帳號可能因此遭到鎖定，非常麻煩。

今年 4 月，Google Authenticator 宣布進行更新，將開始支援將帳號資訊備份至 Google 雲端帳戶，開啟備份功能後，用戶就能隨時在任何裝置，使用和管理自己的雙重驗證代碼。

對用戶來說，這項更新看起來更方便了，不過有不少專家卻指出，這相當「不安全」。 因為同步雲端的功能沒有端到端加密，也就是說，不只 Google 可以看到這些數據，甚至還有可能被有心人士利用。

小心幣被盜！Google驗證程式更新「這功能」，專家警告：很危險

尤其，許多加密貨幣交易所都有「兩步驟雙重身分驗證」機制，一但有資安漏洞，用戶的虛擬資產就會暴露在極高的危險下。

Google 安全經理克里斯蒂安布蘭德（Christiaan Brand）很快就在推特補充， Google 已計劃未來加入端到端加密選項，並強調 Google 相當重視用戶的資安。 之所以一開始沒有導入，是因為在端到端加密的情況下，用戶如果遺失帳號密碼，就無法自己恢復數據，因此當初沒有做這樣的選擇。

交易所用戶，要注意哪些事情？

台灣本土交易所 Rybit 觀察，多數的幣圈老玩家都對於 Google 雙重驗證更新，都抱持謹慎態度，且由於區塊鏈的社群活動緊密，第一時間很多人都會在社群中分享觀點、警告安全性；對圈外用戶、幣圈新手來說，這項更新討論度並不高。

對交易所來說，資安更是保護用戶加密資產的重要關鍵，多數交易所都有提供帳號綁定 Google Authenticator 的服務。面對這波更新，許多交易所也紛紛呼籲用戶應注意此項更新，並建議關閉雲端同步功能。

Google 驗證器的更新雖然增加了方便性，但由於可以在多台設備上檢索與存儲，若是用戶的 Google 帳戶遭盜用，那麼一次性密碼就也可能同時被洩露。

Rybit 創辦人賴永純表示，Rybit 在偵測用戶使用不同 IP，或異地登入時，也會再以簡訊一次性驗證碼等方式驗證身份，以確保用戶帳戶安全。

ACE 法幣數位貨幣交易所執行長王黌驌提醒，「用戶自行在線下管理密碼，就是最安全的方式，即使用戶為求方便用 Google 帳號密碼，也要確保不被洩露他人，更可增加實體安全金鑰登入增加複雜度。」

王黌驌建議，坊間提供指紋辨識YubiKey（一種安全金鑰）登入，或選擇其他非 Google 的身分雙重驗證（2FA）等，就能輕鬆提升用戶安全，「不用像為了看密碼還要打開保險櫃，這樣太不方便了。」

最重要的，還是用戶對於資安的警覺性，王黌驌提醒，平時要多留意資安相關訊息，了解最新的駭客威脅方式和保護做法。

MaiCoin 交易所的資安主管林劭謙則認為，安全的態勢是持續變動的，沒有一件事是永遠安全或不安全。最重要的還是用戶要有「零信任」的精神，並且注意在任何服務的驗證資訊管理上，不要把密碼和雙因子，保存在同一個廠牌的密碼管理器或是驗證器上，以此來分散風險。

驗證用戶身份，交易所還有哪些機制？

面對 Google Authenticator 的更新，台灣幾家本土交易所，是否可能會考慮使用其他身分驗證方式呢？

ACE 執行長王黌驌表示，ACE 除了有綁定用戶裝置，確認是否為本人操作行為之外，也有另外的獨立憑證主機，專門用來驗證用戶的憑證，每一張憑證僅限本人的同一行動裝置使用，若登入不同的行動裝置，需要重新申請一張新的憑證，ACE 交易所的交易主機內，所有數據內容都是加密及分級用戶資料並確保高度安全性。

MaiCoin 團隊對於各種第三方應用程式，和服務的安全性評估是不間斷的，也會持續對使用者的異常行為，和暗網的外洩資料庫做監控，來減少使用者的風險。針對帳號認證的議題，除了風控機制外，也會持續對 FIDO 身分鑑別的相關功能，進行研究和關注。

Rybit 所有與用戶資產相關的操作，都需綁定二次驗證才能使用，必要時系統也會自動啟動人臉辨識驗證，以再次確保用戶帳戶安全。Rybit 團隊也會繼續關注、找尋安全使用上友善的身分驗證方式。

• 本文經授權轉載自：《Web3+》