为什么Google需要您的个人电话号码?
在最近的博客文章中 ,Google安全团队的Kurt Thomas和Angelika Moscicki谈到了帐户劫持及其成本等问题。事实证明,一个黑客组织可以收取高达750美元的单一帐户危害。鉴于此,人们糟糕的安全习惯似乎更加令人费解。网络犯罪分子可以为突破账户筹集大笔资金,然而,用户继续通过弱密码和重用密码保护上述账户。
安全专家已经投入了大量精力来提高人们对密码重要性的认识。他们一直试图用简单的术语来表达问题,他们给出了真实的例子,他们已经展示了一个可靠的密码管理解决方案如何轻松解决问题。强密码的参数列表实际上是无穷无尽的,但人们不会听 。
Table of Contents
摩擦和谷歌解决方案的问题
有一种解决方案 - 双因素身份验证(2FA) 。所有流行的在线服务都提供双因素身份验证的形式,人们一次又一次地被告知使用它可以大大提高他们保持帐户安全的机会。不幸的是,采用率仍然很低,专家认为这是因为2FA引入了太多业内已知的“摩擦”。
用户不喜欢每次尝试登录其帐户时都必须输入二级代码。他们并没有将增加的安全性视为足够的激励,而是认为额外的步骤是不必要的复杂因素。确实很难说2FA让签约变得更加困难,并且尽可能地尝试,专家们无法说服Joe和Joanne Average相信额外的努力是值得的。谷歌的安全人员认为他们已经破解了这个谜团。
基本上,他们谈论的是仅在可疑登录尝试时触发的2FA系统。我们的想法是,当您在自己的家乡,在自己的设备上登录Google帐户时,您只需输入您的电子邮件地址和密码即可。另一方面,如果Google注意到位于其他国家/地区的无法识别设备的登录尝试,则还需要您输入通过短信发送给您的临时代码或点击智能手机上的提示。在大多数情况下,您的体验不会以任何方式改变。同时,如果世界另一端的黑客猜到了您的密码,他们将无法接管您的帐户,因为他们无法访问您的手机. 从理论上讲,这是一个很好的妥协,谷歌的安全专家已经竭尽全力说服人们,它也将在实践中发挥作用。
谷歌试图让人们加入
Google安全团队的成员与纽约大学的专家合作进行了一项研究,以了解这种所谓的风险感知认证系统的运作情况。结果肯定看起来很有希望。
根据该报告,如果您选择使用通过短信提供的临时代码,您的帐户几乎可以承受自动机器人发起的所有接管攻击。此功能还可以增加您在批量或有针对性的网络钓鱼攻击期间保持安全的可能性。如果您选择将设备上的提示作为身份验证因素,那么数据看起来会更好,Google的专家也希望,因为人们每次尝试登录时都不必完成整个过程,他们会更多倾向于采用该系统。但他们真的会这样做吗?
隐私问题
事实上,包括谷歌在内的大型硅谷公司已经有很多关于我们的信息。 最近的丑闻向我们表明,有时候,科技巨头有时会像保护我们的个人信息一样做得不够强大,而隐私权倡导者建议我们尽量少给他们个人数据。
激活上述系统意味着向Google提供您的个人电话号码,并让搜索引擎巨头将其用作帐户恢复机制。很多人可能会遇到这个问题,我们确信你有充分的论据。但是,在这种情况下,您不应忘记帐户的安全性及其中的数据。最终,您将自己做出选择,但在此之前,请仔细考虑您对Google处理数据的方式的疑虑是否足以抵消风险感知和双因素身份验证系统提供的额外保护。
