这周,我在跟进一位读者的留言,他之前写过关于当你使用双因素认证或2FA时,如何不被锁定你的帐户.来自开普敦的杰里米也写信来询问是否可以使用2FA来避免谷歌和Gmail。为了简洁,他的信经过了编辑。
是否有某种安全设置可以实现[通过2FA],以防止谷歌本身访问自己的Gmail?
什么是双因素身份验证?
回顾:双因素身份验证就是当你从一个可能的三个认证因素列表中使用两个认证因素时:你知道的东西,你拥有的东西,或者你是什么。例如,密码是你知道的东西,而指纹是你的东西。当你把两者结合使用时,你使用的是2FA。
实际上,2FA需要你在输入密码后采取额外的步骤,以绝对证明你是你所说的那个人。这通常需要使用从应用程序生成的一次性代码或通过短信发送的代码,但也有许多其他选择,包括像Duo这样的轻按登录应用程序或像来自的那些硬件安全密钥Yubico和其他制造商。
2FA很好。你应该使用它。这是一个很好的方法来阻止坏人进入你的帐户,但它似乎不会做太多的阻止谷歌。
谁看见了什么?
一般来说,谷歌似乎可以访问您的电子邮件内容.自称为谷歌前员工的克里斯托弗·库昂·阮(Christopher Cuong Nguyen)表示,2010年在Quora上写道(在一个新窗口中打开)只有极少数的员工可以访问电子邮件内容,并且存在一条高度规范的检索信息的路径。现在,这条信息已经有10年的历史了,但它确实证明,的确,有人曾一度可以进入你的Gmail账户。
作为一家遵纪守法的公司,谷歌表示它被要求这样做遵守有关信息的法律要求(在一个新窗口中打开)来自政府和执法部门。这可能包括您的电子邮件消息的内容,尽管谷歌指出它努力缩小它所接收的请求的范围需要搜查令(在一个新窗口中打开)在交出你的照片、文件、电子邮件等之前。
谷歌还有其他使用你Gmail信息的方式。该公司不再扫描邮件生成自定义广告内容多年来,它一直以这样做而闻名。即使到现在,Gmail仍然可以解析您的消息,以便提取并突出显示旅游信息,并在您编写消息时生成提前输入建议。根据你的舒适程度,这可能是完全可以的,也可能是非常有侵略性的。
谷歌做似乎加密你的电子邮件,但主要是在这些消息的传输过程中。即使这些信息在谷歌的服务器上静止时被加密,如果谷歌正在管理加密密钥——从我所看到的情况来看,它确实如此——谷歌仍有可能访问你的信息。
2FA不是答案
我知道杰里米的问题是怎么来的。因为我控制我的Yubikey,谷歌不,如果我启用2FA,谷歌应该不能访问我的Gmail帐户。但是,谷歌可以对使用2FA保护的帐户进行更改。
启动我的一个非工作帐户Gmail,我点击忘记我的密码选项。它立即跳过了登录的备选选项:向我的手机发送短信、使用我的Yubikey、在验证过的手机上点击提醒、向我的恢复邮件地址发送电子邮件、回答一个安全问题、输入我创建Gmail账户的日期,最后留下一个谷歌可以直接联系到我的电子邮件地址来解决我的问题。如果谷歌可以允许我访问我自己的账户,而不需要我的密码或第二个因素,这意味着谷歌可以自己做到这一点。
即使是谷歌的Gmail的高级保护计划有一种恢复选项。启用“高级保护”后,需要注册两个不同的硬件安全密钥—一个用于登录,另一个用作备份。如果你丢失了这两个钥匙,谷歌说,重新控制你的高级保护计划帐户:
如果您仍然可以访问已登录的会话,您可以访问account.google.com并注册替换密钥以代替丢失的密钥。如果您丢失了两个密钥,并且无法访问已登录的会话,您将需要提交请求以恢复您的帐户。谷歌需要几天的时间来确认你的身份并允许你进入你的账户。
总的来说,2fa—即使是高级保护中使用的极端版本—似乎也不足以将谷歌本身排除在您的电子邮件之外。对大多数人来说,这可能是件好事。电子邮件账户是个人安全基础设施中非常重要的一部分。如果您丢失了密码或必须更改密码,发送电子邮件到验证帐户通常是过程的一部分。如果攻击者进入了你的电子邮件账户,他们可以继续使用网站上的账户恢复选项,获得更多账户的访问权限。重要的是,用户有办法重新控制他们的帐户。
什么是双因素身份验证?真正的私人信息
当我们谈论消息传递系统中可以看到什么和不能看到什么时,我们谈论的是加密,而不是身份验证。大多数服务在发送和存储消息过程中的不同点使用加密。例如,Gmail使用TLS当发送消息时,以确保它不被拦截。当任何类型的消息服务在服务器上保留用于加密您的消息的密钥时,可以有把握地假设该公司可以访问这些消息本身。
如果您想保留您的Gmail帐户,但想使您的消息不可读,您可以自己加密这些消息。有很多加密Chrome插件,或配置雷鸟以使用电子邮件常用的加密方案PGP加密你的讯息。更贵的Yubico型号还可以配置为在需要时吐出PGP密钥。
我们的编辑推荐
我要诚实地说,虽然我确信其中一些工作,但我从来没有能够充分地理解它们。的PGP的创造者说过一句名言(在一个新窗口中打开)甚至连他自己都觉得这个过程太复杂,难以理解。
使用可能更容易加密工具,然后将加密后的输出附加或粘贴到Gmail中。您必须协调另一端的解密过程,但是电子邮件的内容对谷歌或任何其他人来说都是不可读的。Keybase.io(在一个新窗口中打开)是另一种可以加密、解密或签署可在电子邮件中使用的文本的服务。
如果你一定要确保只有你自己才能访问你的电子邮件,有一些选择。首先也是最重要的是抛弃Gmail。ProtonMail,由ProtonVPN的创建者创建,是一种旨在尊重你的隐私的服务,它通过加密你所有的电子邮件信息——包括你从使用其他电子邮件提供商的人那里发送和接收的邮件。这是如何ProtonMail描述了它的运作(在一个新窗口中打开):
所有邮件在您的ProtonMail收件箱存储端到端加密。这意味着我们不能阅读您的任何信息或将其移交给第三方。这包括非protonmail用户发送给你的邮件,但请记住,如果邮件是从Gmail发送给你的,Gmail可能也会保留该邮件的副本。
另一个选择是看电子邮件之外的东西。2010年代后期出现了大量的无线通讯服务,它们利用你的数据连接而不是你的短信计划在设备之间发送消息。近年来,许多此类服务都采用了端到端加密技术,这意味着只有你和你的收件人才能阅读你的信息。Signal是最有名的,它本身就是一款优秀的应用。WhatsApp采用了Signal协议,现在对消息进行了首尾相连的加密。有点讽刺的是,Facebook Messenger的秘密消息模式也使用信号协议。
苹果的消息平台可能最出名的是它的贴图和animoji卡拉ok,但它也是一个非常安全的消息传递系统.另一个值得注意的地方是,与其他即时通讯服务不同,你可以在手机或电脑上收发消息,而无需授权苹果访问你的消息内容。
说到使用Gmail,我建议人们听从自己的直觉。如果您非常担心您的信息被人类或机器人读取,那么可以尝试替代方案。如果Gmail对你来说真的很方便,而你就像它提供的功能,坚持使用它。尝试使Gmail完全安全是完全可能的,但是还有很多更简单的选择。最后,2FA是一个很好的解决方案,防止坏人进入你的帐户,这就是它。我不会依赖它来锁定服务的所有者。
