【實用文】守護個人 Google Account 安全貼士
要數到本港最多個人用戶的電郵供應商,相信 Google 旗下的 Gmail 必然是頭幾位。Google Account 當然不只電郵這個功能,其 Google Drive 儲存空間等亦大受歡迎,絕對配得起「大神」這個名字。隨著我們把放在 Google 的資料愈放愈多,要避免被入侵帳戶以至私隱盡失,就要必須學懂管理個人 Google Account。一齊來看看科技達人 Ed Bott 的貼士吧。
Ed Bott 認為,使用 Google Account 時的安全基準有三個層次,最初階是為 Gmail Account 設置一個獨一無二的密碼,如果沒有用這個電郵地址在其他網站作登記,單一密碼也夠用,再進一步的是開啟多重驗證功能,以避免遭受釣魚攻擊等密碼入侵,如果有新裝置登入或者有用戶異常舉動,就會自動收到如手機短訊驗證碼的通知,要求驗證是否加入新裝置或檢查異常。第二階段是在手機安裝如 Google Authenticator 等的應用程式,在手機登入 Google Account 時,選定為登入驗證裝置,之後手機便會接收提示,以用作登錄和驗證選項,最後可以關掉使用 SMS 短訊驗證身份的選項,這個方法可避免攻擊者截取短訊。最後是最過安全性的第三階段,可在 Google Authenticator 應用程式外,再添加一個 Physical Hardware Key,並可選擇刪除個人電郵作為備份驗證因素,這個做法可以為攻擊者入侵設下難關, 令「白撞」者登入帳戶難度大增,是保護 Google Account 最有效的方法。
以下是幾個基於上文而引伸的詳細步驟可以跟著做,來加強 Google Account 的防護:
(1)設置一個高強度、全新的密碼
可以使用密碼管理器 (Password Manager or Password Generator)創建新密碼,一個全新密碼能確保帳戶憑證(account credentials)不會與任何其他帳戶共享,還可確保沒有在無意中重用了一個舊密碼,按照說明使用密碼管理器保存新密碼。另亦可以用紙張抄寫密碼,只要確保將紙張存放在安全的位置便可。
(2)開啟兩步驗證
開啟 Google 帳戶安全性頁面(Google Account Security)中的兩步驗證(Two-Step Verification)選項,使用默認選項在個人手機上通過短訊方式接收代碼。
(3)列印恢復代碼(Recovery Code)
如果忘記密碼或丟失手機,這組代碼便可用來重新登入自己的帳戶,可避免帳戶被永久鎖定。 在Google帳戶安全性頁中設置「備份代碼」選項,之後便會彈出內含 10 個代碼的對話框,將代碼頁面列印並保管,在之後用到時,當提示需要輸入第二個驗證因素時便可以使用。Ed Bott 提醒,用戶可以隨時返回此頁面以查看備份代碼列表並重新打印,但由於代碼只能使用一次,如果重新打印,之前的代碼便會顯示為「已使用」,重新打印出來的新代碼便會取代之前的代碼。
(4)新增備援電郵地址以作恢復用
註冊備援電郵後,如果 Google 偵測到帳戶有可疑活動,便會向這個電郵發送通知。 而如果忘記密碼,備援電郵亦會發揮作用。啟用兩步驗證後,重置密碼至少需要兩種形式的驗證,例如發送到已註冊電郵帳戶中的代碼和剛才提及到的Recovery Code,有齊兩種形式的身份驗證才可登入,否則或會被永久鎖定帳戶。
在 Google 帳戶安全性頁面,點擊輔助郵件,並輸入或更改輔助電郵。Ed Bott 建議,如果對安全需求不大的話,可考慮使用其他免費的備用電郵,如 Microsoft Outlook.com,最好是選擇用企業電子郵件地址,會比個人帳戶更難被入侵。
(5)設定手機為驗證裝置
當註冊手機為獲信任的設備時,Google 會提供兩種驗證身份的方式,如是果使用 Android 設備登入 Google 帳戶,則可以通過 Google 的提示來登入 Google 服務,此選項不需要其他額外設置;而在 iPhone 或 iPad 上,則需要下載 Google 或 Gmail 應用程式,登入 Google 帳戶後打開推送通知。 此外,可以使用 Google Authenticator 或其他 Time-based One-time Password Algorithm (TOTP)代碼,以進行多重因素身份驗證。
(6)關閉以手機短訊通知作為驗證模式
誠如上文所述, 關閉手機短訊作驗證可避免遭攻擊者截取短訊。但在關閉這個設定之前,應確保至少有兩種替代驗證方法儲存備份代碼,如備援電郵及 Google Authenticator 應用程式。
(7)添加實體硬件安全密鑰 Physical Hardware Key
這是所有步驟中最安全的選項,由於需要額外的硬件,即為裝置插入USB端口或通過藍牙或NFC建立連接的要求,以增加安全性。要配置硬件密鑰,在 Google 帳戶兩步驗證頁面中添加安全密鑰,然後按照提示完成操作。 過程中需要輸入硬件密鑰的 PIN,然後再將其激活。Ed Bott 認為,大部分人未必需要使用如此高級別的保安配置,但如果需要處理稅單或帳單的電郵,就要考慮更高級別的防護了。