从逻辑上讲,双因素身份验证(2FA)和两步验证(2SV)-差异是微妙但重要的,谷歌的实现算作两者-应该使黑客更容易瞄准帐户,但这是一个很难实际应用的理论在实践中证明。
谷歌现在有一些非常有力的证据来支持它所拥有的——我们一直坚持的——2FA是有效的,并且是每个人都应该注册的东西,即使它确实给帐户登录增加了一些摩擦。
在昨天(2月8日)由Google帐户安全和安全总监GuemmyKim撰写的博客文章中,该公司透露了自动将帐户注册到其2FA/2SV计划的惊人结果:帐户接管减少了50%。
在新设备上使用正确密码登录Google帐户后,Google会为您提供几种不同的方法来备份该密码:
所有这些都算作双因素身份验证中的“第二个因素”。我们有关于如何在您的手机上设置Google的2FA以及如何在您的计算机上设置Google的2FA的指南。
安全加倍,危害减半
从2021年年中开始,有1.5亿谷歌账户持有者(因为他们的智能手机可以接收推送通知而被选中)和200万YouTube创作者被迫使用2FA/2SV,Kim表示,该公司发现谷歌账户被入侵的人数减少了50%。启用了2FA/2SV的用户。
“这种减少充分说明了第二种形式的验证在保护您的数据和个人信息方面的有效性,”Kim写道。
然后,她概述了谷歌如何努力确保“更高的安全性不一定意味着更少的便利性”。
例如,由USB安全密钥开创的技术现在得到了“世界上几乎所有移动设备”的支持,这要归功于它内置在Android中,并通过GoogleSmartLock应用程序在iOS上可用。
换句话说,当您在PC或Mac甚至其他智能手机上登录您的Google或Gmail帐户时,您的手机可以充当基于蓝牙的物理安全密钥。
“打开2SV(或者我们会!),因为如果您的密码被泄露,这一切都会有所不同,”Kim敦促人们进行谷歌安全检查并注册谷歌密码管理器。
(我们不同意Google密码管理器的优点,因为它依赖于Chrome桌面浏览器,而这些浏览器通常会被常见的恶意软件入侵。)
大多数人都会同意,Google的2FA推送通知实现非常优雅,而且肯定比必须从SMS消息中输入代码(这也容易受到SIM交换和号码转移攻击)。但即使是温和的双因素身份验证实施也会让那些对技术不太熟悉的人感到反感。
haveibeenpwned.com以查看您的密码是否已泄露),我很快意识到宣传密码管理器的力量是浪费时间。
相反,我建议了一个密码可以熟悉但复杂的系统,使用基于密码所连接的帐户的易于记忆的扭曲。
当然,这不如随机生成的密码安全,但它使密码不易受到暴力攻击。它还使每个密码都是唯一的,这意味着一次密码泄漏不会导致我父母的所有帐户都暴露在互联网上最糟糕的元素中。
这不是我向名人、体育明星或政治家等高回报黑客目标推荐的策略,但对于大多数低调的互联网用户来说,这总比没有好。在互联网安全方面,有时成为一个不太容易的目标,然后下一个人就足够了。
但是,如果Google对2FA的更轻松的尝试可以让足够多的人达到更高的标准,那么希望更少的人会被黑客和诈骗者毁掉他们的日子(甚至生活)。这是值得庆祝的事情。