雖然科技界正在推動無密碼認證 Passkey,不過一次性密碼仍然是其中一種被普遍使用的雙重認證方式,而除了短訊傳送一次性密碼之外,很多人都會使用 Authenticator 來產生一次性密碼,Google Authenticator 就是當中最多人用的。不過這軟件最大的缺點,就是一旦手機遺失、損壞或被盜,就會無法登入帳戶。Google 剛剛就為 Authenticator 推出更新,加入 Google 帳戶同步功能。
只要用戶更新最新版本 Google Authenticator,選擇一個常用的 Google 帳戶登入,儲存在 Google Authenticator 的 TOTP 密鑰就會備份到雲端。當用戶更換新手機時,只要在 Authenticator 登入同一個帳戶,就能取回所有密鑰,在新手機產生一次性密碼。
Google Authenticator: iOS|Android
Google 是在 2010 年推出 Google Authenticator,為推動雙重認證提供免費的一次性密碼儲存方法。過去,Google Authenticator 將 TOTP(基於時間的一次性密碼)密鑰儲存在手機裡,亦沒有密碼保護,只要解鎖手機就能隨意看到一次性密碼。到 2020 年加入匯出和匯入密碼功能,方便用戶將密鑰轉移到新手機或者備份。2021 年 Google 又在 iOS/iPadOS 版 Authenticator 引入生物認證,用戶觀看一次性密碼前需要進行生物認證,加強對一次性密碼的保護。不過,這些功能其實早已在對手 Microsoft 推出的 Microsoft Authenticator 提供。
另一方面,TOTP 一次性密碼因為有頗多缺點,所以已被網絡保安組織認為是不夠安全的認證方法。除了使用更安全的 Yubikey 等實體密鑰之外,包括 Google、Apple 和 Microsoft 等平台商參與的 FIDO 聯盟亦已推出免密碼的 Passkey 認證,提供跨裝置、適用於網站和應用程式的安全密鑰註冊和登入帳戶方案。Authenticator 這類應用可能再過幾年就會被淘汰。
