2023年2月28日，谷歌云的标志出现在巴塞隆拿举办的当届世界行动通讯大会上。

问：时下有不少人使用谷歌的Authenticator作双因素认证（Two-Factor Authentication, 2FA），谷歌近日有新动作，宣布容许Authenticator与谷歌户口连结，此举既能加强网络安全又可方便用家，但为何不少保安专家都呼吁暂时不要试该新功能？

李建军：过去谷歌Authenticator并不能与用户的谷歌户口连结，试想在这种情况下假如用户遗失手机，就会十分麻烦，要联络每一个网站的客户服务部门解锁、重设密码，并重新建立所有Authenticator的双因素认证。首先，这对用户来讲要花费大量时间精力，更何况很多网站根本没资源、也不愿意提供这类服务，有人可能要被迫中途弃权。而当用户能将Authenticator与谷歌户口连结，遇到上述情况问题就相对容易解决。

然而Authenticator与用户连通却有两个问题。首先，谷歌户口本身都是黑客目标，特别是中国黑客的目标，将Authenticator与谷歌户口连结后，万一谷歌户口被攻入就肯定是一场大灾难。另一方面，谷歌并无将Authenticator与帐户的连结做点对点加密，这个漏洞可能会被黑客利用拦截。谷歌留下这个漏洞，亦令人怀疑意图藉此提高广告投放准确率。在众多疑虑下，建议暂时不启动新功能，那是最能保障自己。

问：手机遗失或者损坏会造成双因素认证不便，那么目前要解决这个问题，有甚么好办法？

李建军：硬体金钥目前是最好的双因素认证工具，而且你可以设定两至三条，将后备金钥存放在安全地点就能避免手机遗失等造成的认证不便。而且硬体金钥，被黑客成功攻入可能性近乎零，谷歌亦不多可能掌握到你的私隐。而且现时美国或欧洲制造的硬体金钥已经相当便宜，如果网站容许你用硬体金钥，都应以其为首选。其实现时有相当多网站已经陆续支援硬体金钥，因此，以谷歌Authentictor或相类似的技术做双因素认证，其实在数年后有可能会被淘汰。

当然，有部分网站，至今仍然未支援硬体金钥做双因素认证。在这种情况下，假设网站容许你使用多个装置做双因素装置，而你又有多部手机或平板电脑的话，应该选择多个装置做双因素装置的做法。那至少当其中一个装置损坏或遗失时，你可以用另一个装置登入帐户，并且解除旧装置的双因素认证授权。

另外，使用专门做一次性密码的装置也是一个方法，只不过这个方法远比硬体金钥来得昂贵。

问：用旧有手机专门做Authenticator又是否一个好的做法？

李建军：用旧的iPhone或Android手机做Authenticator用途前，要留意几点。首先，相关手机的作业系统版本不能太旧，否则可能出现不能更新应用程式以及作业系统的情况。而遇到这种情况时，其作为Authenticator的用途将失效，换言之，你将很难取回登入网站的密码。另一方面，要确保旧手机电池正常。使用Authenticator的前提是手机必须能够启动，这与硬体金钥大部分几乎不用独立电池有明显差别。另外手机的相机镜头亦必须正常运作，因为QR码仍然在Authenticator使用上扮演重要角色。

在用旧手机做Authenticator问题上，苹果手机会略比Android为好，因为Android手机经常有拒绝向旧款机型提供作业系统更新的问题，一旦有新的Authenticator应用程式推出，就有可能因作业系统无法更新的而无法执行，而苹果很多时仍然会为机龄超过五年的机种提供作业系统更新以及电池零件更换。如果你旧手机的生产商已经倒闭或者不再更新，建议无需考虑用这些失去了技术支援的旧手机作双因素认证之用。