假设您使用 Google 帐户作为在线身份的根:Gmail、Fi、“使用 Google 登录”、Google 的密码管理器等。您应该多么担心突然发现自己无法进入所有内容?你应该做点别的吗?
为了了解锁定有多常见以及它们是如何发生的,我通过搜索[google blocked account]和[google locked out]查看了Hacker News上的锁定报告。我查看了顶级故事以及对人们完全被锁定在帐户之外的案例的评论;我没有包括人们仅无法访问某些 Google 服务(支付、AdWords 等)或他们自己重新访问的情况。不过,我确实计算过在 HN 或 Twitter 上发出大量噪音的情况。
人们似乎被拒之门外的原因有两个:
-
安全锁定:他们不相信你就是你,并试图阻止攻击者进入你的帐户。
-
政策锁定:他们不喜欢你。他们已将您的帐户标记为滥用,足以让他们完全暂停您的帐户。
我发现了 32 个案例( 表),追溯到 2008 年。我发现了 22 个安全锁定,7 个策略锁定,以及 3 个细节太少无法讲述。我认为这可能主要低估了与政策锁定相关的安全锁定:阅读评论,很多安全锁定就像“这也发生在我身上”,而政策锁定则获得了主流新闻文章。 [1]
在安全锁定的情况下,如果您可以判断发生了什么,最常见的原因是有人配置了备份方法(电话号码、恢复电子邮件、2FA)但不再具有访问权限。第二个最常见的情况是有人没有配置任何备份方法,谷歌认为他们的登录是可疑的。
安全锁定是一个棘手的情况,因为任一方向的故障都非常糟糕。以上所有都是误报:本应让他们的帐户返回但没有返回的人。但也有误报:攻击者被允许进入某人帐户的情况。
不过,谷歌是否应该标记可疑登录存在一个问题。如果我的帐户仅受密码保护而其他人获得了密码,也许 Google 应该让他们进入?问题在于,这将意味着大量被黑帐户:密码通过网络钓鱼或跨站点密码重用而泄露是很常见的。使用您登录的其他方面,例如您的国家/地区、设备、活动模式等,作为一种伪 2FA 可能确实会让用户的整体体验变得更好:如果我的用户名和密码突然从俄罗斯的新设备上出现,那确实是很有可能是有人试图黑我。幸运的是,用户有更好的选择:通过设置良好的 2FA 选择更严格的安全性。您证明自己真实身份的方式越多,遭受黑客攻击和停工的风险就越低。
在经历了这些之后,在我看来,安全锁定的可能性很低,如果您不担心:
-
除了记住您的密码外,还要将其写下来并存放在安全的地方。如果您希望有人在您发生某些事情时立即访问该帐户,那么这也是值得做的(不活跃的客户经理也很好,但合理地有很大的延迟)。
-
配置备份方法(电话、电子邮件)。
-
备份方法发生变化时及时更新。您可以在myaccount.google.com/security查看您的配置。
但是,政策锁定呢?我认为那里的风险也很低:这些事件非常罕见,一旦发生就具有新闻价值,即使它们没有发生在任何以前知名的人身上。我努力避免灰色地带(不向谷歌提出拒付,不给我的孩子在洗澡时拍照)但除此之外别担心这个。
然而,即使风险很低,也许换成其他风险更低的东西会更好?问题是安全和策略锁定是您可以在任何服务中找到的东西。例如,在 HN 讨论中,人们通常会推荐Fastmail或Protonmail ,但他们也遇到了问题( FM : 2017、2020、2022 , PM : 2018、2019、2021 ) 。特别是考虑到这些服务规模要小得多,我不相信那里的风险会更低。任何系统都必须处理这类问题,而且您不会找到一个永远不会出现误报的系统。
这并不是说这些公司不能在这方面做得更好:如果他们做出错误判断时没有愤怒,我预计他们会在尝试做出正确判断时投入更少。如果提供商确实提供了比其他选项更差的体验,那么迁移是有道理的。但是在浏览了上面的报告之后,我对将我的 Gmail 帐户保留为主要帐户所涉及的风险级别感到满意。
(披露:我曾经在谷歌工作,但没有从事任何与此相关的工作。)
[1] 在此比较中,我忽略了某人被正确拒绝访问帐户的“真肯定”锁定。这包括真正的积极安全锁定(禁止其他人进入您的帐户)和真正积极的政策锁定(某人因合法滥用行为(如公然发送垃圾邮件)而失去帐户)。这两种情况可能都有很多,它们的相对频率并不是很重要。
评论来自: facebook , lesswrong , mastodon
原文: https://www.jefftk.com/p/how-likely-is-losing-a-google-account