為什麼Google需要您的個人電話號碼?
在最近的博客文章中 ,Google安全團隊的Kurt Thomas和Angelika Moscicki談到了帳戶劫持及其成本等問題。事實證明,一個黑客組織可以收取高達750美元的單一帳戶危害。鑑於此,人們糟糕的安全習慣似乎更加令人費解。網絡犯罪分子可以為突破賬戶籌集大筆資金,然而,用戶繼續通過弱密碼和重用密碼保護上述賬戶。
安全專家已經投入了大量精力來提高人們對密碼重要性的認識。他們一直試圖用簡單的術語來表達問題,他們給出了真實的例子,他們已經展示了一個可靠的密碼管理解決方案如何輕鬆解決問題。強密碼的參數列表實際上是無窮無盡的,但人們不會聽 。
Table of Contents
摩擦和谷歌解決方案的問題
有一種解決方案 - 雙因素身份驗證(2FA) 。所有流行的在線服務都提供雙因素身份驗證的形式,人們一次又一次地被告知使用它可以大大提高他們保持帳戶安全的機會。不幸的是,採用率仍然很低,專家認為這是因為2FA引入了太多業內已知的“摩擦”。
用戶不喜歡每次嘗試登錄其帳戶時都必須輸入二級代碼。他們並沒有將增加的安全性視為足夠的激勵,而是認為額外的步驟是不必要的複雜因素。確實很難說2FA讓簽約變得更加困難,並且盡可能地嘗試,專家們無法說服Joe和Joanne Average相信額外的努力是值得的。谷歌的安全人員認為他們已經破解了這個謎團。
基本上,他們談論的是僅在可疑登錄嘗試時觸發的2FA系統。我們的想法是,當您在自己的家鄉,在自己的設備上登錄Google帳戶時,您只需輸入您的電子郵件地址和密碼即可。另一方面,如果Google注意到位於其他國家/地區的無法識別設備的登錄嘗試,則還需要您輸入通過短信發送給您的臨時代碼或點擊智能手機上的提示。在大多數情況下,您的體驗不會以任何方式改變。同時,如果世界另一端的黑客猜到了您的密碼,他們將無法接管您的帳戶,因為他們無法訪問您的手機. 從理論上講,這是一個很好的妥協,谷歌的安全專家已經竭盡全力說服人們,它也將在實踐中發揮作用。
谷歌試圖讓人們加入
Google安全團隊的成員與紐約大學的專家合作進行了一項研究,以了解這種所謂的風險感知認證系統的運作情況。結果肯定看起來很有希望。
根據該報告,如果您選擇使用通過短信提供的臨時代碼,您的帳戶幾乎可以承受自動機器人發起的所有接管攻擊。此功能還可以增加您在批量或有針對性的網絡釣魚攻擊期間保持安全的可能性。如果您選擇將設備上的提示作為身份驗證因素,那麼數據看起來會更好,Google的專家也希望,因為人們每次嘗試登錄時都不必完成整個過程,他們會更多傾向於採用該系統。但他們真的會這樣做嗎?
隱私問題
事實上,包括谷歌在內的大型矽谷公司已經有很多關於我們的信息。 最近的醜聞向我們表明,有時候,科技巨頭有時會像保護我們的個人信息一樣做得不夠強大,而隱私權倡導者建議我們盡量少給他們個人數據。
激活上述系統意味著向Google提供您的個人電話號碼,並讓搜索引擎巨頭將其用作帳戶恢復機制。很多人可能會遇到這個問題,我們確信你有充分的論據。但是,在這種情況下,您不應忘記帳戶的安全性及其中的數據。最終,您將自己做出選擇,但在此之前,請仔細考慮您對Google處理數據的方式的疑慮是否足以抵消風險感知和雙因素身份驗證系統提供的額外保護。
