虽然Google提供双重验证(2 Factor Authentication,2FA)或两步验证(two-step verification,2SV)作为取代密码的账号登录选项,但目前仍允许用户自行选择,不过Google昨(6)日表示,即将强制Google账号用户激活2SV。
Google身份与用户安全产品管理总监Mark Risher昨日在世界密码日(World Password Day)指出,密码其实是用户线上安全最大威胁之一,因为很容易被窃、难记、管理起来又麻烦。有人以为使用复杂密码较安全,但复杂密码导致用户多个账号共享同一组密码,一旦密码被窃就全部账号沦陷。因此,通过2FA或2SV提供多一层验证,是防止账号因密码被窃、被破解或强度太弱的最好方法。
Google一直以来已提供并建议用户激活2SV,以便在以手机登录Google账号时验证身份,但是仍允许用户只使用密码登录。不过Risher说,Google“很快”就会自动将用户注册激活2SV,只要他们的账号已经组态正确。
一旦Google账号激活2SV,用户可以使用软件或硬件方案作为第二层验证。验证App包括Google和微软都有Authenticator App,硬件密钥则有Google Titan或Yubico等选项。Google 2019年还进一步把FIDO 2/WebAuthn技术内置到Android 7,使Android 7以上的手机,可以直接启动两步验证登录Google账号。
针对iPhone或iPad,则可使用Google Smart Lock,以iPhone非密码登录Google账号。
Google同时也宣布针对密码设计的新技术。Google现有的Password Manager可自动产生复杂密码,协助用户登录第三方网站或App,又能免于记忆或重复使用密码。它原本内置于Android、Chrome,如今也支持iOS。此外,Google也宣布发布一项免费的Password Import功能可存储密码,用户一次最多导入1000组不同网站的密码。