盡管Google持續推動安全度較高的二次驗證機制,但在所有活躍使用的Google帳號卻僅有不到10%比例選擇使用此項措施。
根據Google工程師Grzegorz Milka於美國加州舉辦的USENIX Enigma 2018大會上說明,即使過去如何強調二次驗證機制如何協助帳號避免被盜,在許多活躍使用的Google帳號卻僅有不到10%比例啟用此項機制。
就Google在內所提供二次驗證機制,主要包含藉由個人使用手機接收驗證碼,當使用者輸入驗證碼之後才能順利透過密碼登入個人帳號。雖然二次驗證機制能確保個人帳號有更高安全,特別是Google帳號可同時對應所有服務情況下,Google認為使用者應以更高安全方式保護個人帳號。
不過,由於二次驗證機制必須完成流程相對煩冗,因此不少使用者為了方便選擇關閉,或是認為沒有其必要性,甚至部分使用者認為個人手機號碼可能因此遭竊。
而縱使Google提出二次驗證機制確保使用者個人帳號安全,但在越來越多第三方App藉由API方式串接Google帳號,藉此作為服務登入憑證,卻未能在安全防護機制做好妥善措施,導致不少駭客轉向攻擊此類第三方App,進而取得眾多使用者用於登入服務的Google帳號資料。
根據Google內部統計,大致有超過6700萬組實際使用的Google帳號資訊可從第三方App服務內取得,此外也包含藉由釣魚攻擊、網頁詐騙等方式取得個人帳號資訊。
為了避免使用者個人帳號遭攻擊,Google開始實施內部系統偵測任何不正常登入行為,例如同時在不同網路IP位置登入時,系統就會提醒使用者,或是要求重新驗證。
