帳號安全已經成為嚴峻的資安議題,這可以從網上三不五時就傳出某某網紅 YouTube 帳號被盜,致使頻道被惡意接管等事件中看出,這多少與純密碼的認證機制有很大的關係。即使是閒置的帳號沒有妥善加以處理,也可能引發駭客攻擊,今年稍早之際,美國最大燃油管道系統 Colonial Pipeline 便因閒置帳號問題而遭到大規模攻擊。
為了加強帳號管理並提升用戶帳號安全,今年 5 月,Google 便曾「預告」其打算預設啟用 2FA 雙因素認證。在正逢美國 10 月「網路安全意識月」(Cybersecurity Awareness Month)的當下,Google 週二特別在其《The Keyword》官方部落格中貼文宣布,該公司會在今年底之前,為超過 1.5 億的 Google 用戶帳號強制啟用雙因素認證。
針對 YouTube 帳號安全,今年 8 月下旬,Google 要求超過 200 萬名參加 YouTube 合作夥伴計畫(YPP)的網紅,務必在 11 月 1 日前啟用 2SV 雙步驟驗證,否則就無法使用 YouTube Studio 工作室。
面對不安全的密碼,Google 一方面與一些組織合作,每年贈送超過 1 萬支硬體安全金鑰,並致力於讓 Android 與 iPhone 手機本身變成雙因素認證中的實體安全金鑰。另一方面,則鼓吹使用「Google 密碼管理員」(Password Manager)來確保帳號安全,Google 如今宣稱,其透過內建在 Chrome、Android 及 Google App 上的管理員,平均每天能檢查超過 10 億個密碼。
內建 Google 密碼管理員的 iOS 版 Chrome 能夠自動填寫帳密完成登錄其他 App 的作業。Google 表示,其很快會推出協助使用者自動產生登錄其他 App 密碼的功能,未來使用者甚至可以直接從 Google App 選單上檢視所有已儲存密碼。
為了避免閒置帳號淪為駭客攻擊漏洞,2013 年 Google 便新增「閒置帳戶管理員」(Inactive Account Manager),使用者可以針特定帳號指定可閒置的時間(最短 3 個月,最長 18 個月),一旦到期便會依照使用者設定,展開像是帳號停用等行動。
(首圖來源:Google)
