谷歌賬戶的兩步驗證(2-step verification)有多安全? | 知乎問答精選

 

A-A+

谷歌賬戶的兩步驗證(2-step verification)有多安全?

2018年11月05日 GOOGLE, 知乎問答精選 暫無評論 閱讀 1 ℃ 次

今天看到 Twitter 上的 @fenng 說起,我也去給自己的谷歌賬戶做了一個兩步驗證。對於 iPhone 用戶而言,它會要求你先裝一個叫 Google Authenticator 的免費軟件。之後每次從 web 端登錄 Gmail,除了密碼外(第一步),還要輸入一個隨機生成並發到你的 Google Authenticator 的數字串(第二步)。數字串可以設為三十天內無需再次輸入。

由於目前幾乎沒有什麼客戶端支持這種兩步驗證,所以接下來得通過谷歌單獨為它們分別指定密碼,這些密碼都是谷歌幫你隨機生成的。

這種驗證能在多大程度上提升你的 Gmail 賬戶的安全性?請從理論上和實際使用上分別回答。

【楊超的回答(6票)】:

衡量一個系統的安全程度,需要看其最薄弱的環節。安全系統的設計原則就是尋找系統最薄弱的環節,改進使得其被攻破的成本增加(最好可以用金錢來衡量)。Google 2Factor的目的,是解決傳統密碼被攻破(phishing,或者social engineering)這個環節上的問題。多了一個驗證環節,也就自然多了一份破解的成本。不過很難量化地說這樣的系統是否比以前安全多少,只能說消除了phishing,或者用戶密碼意外洩露(例如用戶在別的網站使用相同密碼,而那個網站被杯具的情況)一類事件對系統安全的威脅,讓大規模的破解和攻擊不太可行(用金錢衡量的話,就是說就算攻破了也要大大虧錢)。但是對於個體或某些小規模群體而言,由於環境不一樣,系統可能存在其他更薄弱的環節,對他們而言安全程度還是一樣的,因為2Factor並沒觸及最薄弱的鏈條,比如你的電腦、手機以及其他東西都是被老婆控制的,再比如有機構把你抓捕拷打威脅,2Factor並沒有本質上增加這些事情發生的成本。

【王俊煜的回答(2票)】:

Googler 就用這個在公眾網絡登錄工作系統,你說安全不?(實際操作略有不同,但原理一致)

也不是完全沒有被盜的可能性,例如盜取者做一個釣魚頁面騙你輸入密碼和驗證碼,然後在幾秒鐘內用這個信息去登錄你的 Gmail 賬戶,也是可行的。

【molvaer.yu的回答(1票)】:

個人認為其安全性已經達到了變態級別,除非有人知道你的密碼並能拿到你的手機獲取驗證碼,除了你老婆恐怕沒人能做到這一點

【米兜大叔的回答(0票)】:

這有點像網游們、網銀們慣常使用「令牌」二次加密。

從人類發明密碼鎖之後,就有人設想一個鎖一把鑰匙會產生的問題,就是這個鑰匙丟失了。於是有人發明了兩把鎖兩把鑰匙,但還是有人指出兩把鑰匙同時丟失了。然後又是發明了兩個人掌握兩條不同的鑰匙勒令他們除了開鎖時其餘時間不得碰面,於是又有人發明了把他們兩個同時綁架來開鎖。

接著瞳孔鎖在電影裡面遇到了挖眼,指紋鎖遇到了硅膠膜,等等等等。

總之人類就是想辦法,讓鎖在開鎖的易用程度及安全程度上玩遊戲。

gmail,肯定有人把密碼存在電腦,或者某個會被盜取的東西上記錄著,就算是原始的一個筆記本,然後增加了Google Authenticator是試圖讓盜取密碼變得複雜,密碼和Google Authenticator都丟了才是糟糕。

引申來說,往後的密碼服務,這種類型的二次驗證會獨立的生產一隻軟件或者硬件(盛大密保之類),或者是你在pc上輸入密碼要在mac上取得令牌號(這個情況太坑爹),更常見的例如手機激活碼這種方式。

【楊堅的回答(0票)】:

我現在在用google的2 factor authentication。但太多的程序還不支持google的2 factor authentication。google的解決方案是提供application specific密碼。實際用起來好麻煩的,我最後還是把這個靜態密碼寫到記事本裡,用的時候來查一下。除了平時登錄多了一步之外,我還要額外記住一個萬能的靜態密碼,這個密碼還不需要2 factor authentication。跟過去沒有太大區別。

【齊小空的回答(0票)】:

兩步驗證雖然給人感覺很安心,但是現在支持的程序還是太少了,Chrome的同步和Android手機的Google賬戶都無法正常使用了,於是只好放棄掉……

標籤:-谷歌-(Google) -楊超


相關資源:





給我留言