2013年9月4日谷歌发布了一个iPhone端的新版本Google Authenticator,如果进行升级操纵将有失去手机中所有基于Google Authenticator钥匙的风险,界时您所有基于Authenticator的功能将被锁定。 Google Authenticator又名谷歌身份认证,是Android领域的一款重要应用(目前分Android和iphone两个平台版),可以管理自己在手机网站上的帐号,此次受影响的是iphone平台版。 目前国内像比特币中国,okcoin等众多比特币交易网均采用谷歌身份认证系统作为其平台提现充值时的一种认证授权系统。
上图为iPhone上Google Authenticator的失败图例
Google Authenticator原理: 谷歌身份认证系统客户端每30秒使用密钥和时间戳通过一种『算法』生成一个6位数字的一次性密码,用户登陆相应的平台时输入这个一次性密码即可。 服务器端使用保存在数据库中的密钥和时间戳通过同一种『算法』生成一个6位数字的一次性密码。大家都懂控制变量法,如果算法相同、密钥相同,又是同一个时间(时间戳相同),那么客户端和服务器计算出的一次性密码是一样的。服务器验证时如果一样,就登录成功了。这种『算法』是公开的,所以服务器端也有很多开源的实。 所以,你在自己的项目可以轻松加入对Google Authenticator的支持,在一个客户端上显示多个账户的效果。目前dropbox、lastpass、wordpress,甚至vps等第三方应用都支持Google Authenticator登陆,现实生活中,网银、网络游戏的实体动态口令牌其实原理与其也差不多。
http://www.cryptocoinsnews.com/2013/09/04/warning-do-not-upgrade-google-authenticator-iphone-you-will-loose-your-keys/ |