Google在内所提供二次验证机制,主要包含借由个人使用手机接收验证码,当使用者输入验证码之后才能顺利透过密码登入个人账号。
尽管Google持续推动安全度较高的二次验证机制,但在所有活跃使用的Google账号却仅有不到10%比例选择使用此项措施。
根据Google工程师Grzegorz Milka于美国加州举办的USENIX Enigma 2018大会上说明,即使过去如何强调二次验证机制如何协助账号避免被盗,在许多活跃使用的Google账号却仅有不到10%比例启用此项机制。
就Google在内所提供二次验证机制,主要包含借由个人使用手机接收验证码,当使用者输入验证码之后才能顺利透过密码登入个人账号。虽然二次验证机制能确保个人账号有更高安全,特别是Google账号可同时对应所有服务情况下,Google认为使用者应以更高安全方式保护个人账号。
不过,由于二次验证机制必须完成流程相对烦冗,因此不少使用者为了方便选择关闭,或是认为没有其必要性,甚至部分使用者认为个人手机号码可能因此遭窃。
而纵使Google提出二次验证机制确保使用者个人账号安全,但在越来越多第三方App借由API方式串接Google账号,借此作为服务登入凭证,却未能在安全防护机制做好妥善措施,导致不少骇客转向攻击此类第三方App,进而取得众多使用者用于登入服务的Google账号资料。
根据Google内部统计,大致有超过6700万组实际使用的Google账号资讯可从第三方App服务内取得,此外也包含借由钓鱼攻击、网页诈骗等方式取得个人账号资讯。
为了避免使用者个人账号遭攻击,Google开始实施内部系统侦测任何不正常登入行为,例如同时在不同网络IP位置登入时,系统就会提醒使用者,或是要求重新验证。
