Gmail安全
Gmail安全
由 大話西遊 » 2018年5月21日
前 言
Gmail的安全介紹分三個部分:
1、賬戶安全。介紹Gmail 的兩部驗證,賬戶安全的五個要點,丟失密碼與兩步驗證時如何找回。其中兩步驗證是這一章的重點;
2、內容安全,介紹如何檢查未授權的訪問,以及其它四個防護要點;
3、與Gmail相關的兩個問題。
一、賬戶安全
以下介紹賬戶安全。包括:兩步驗證,賬戶安全注意事項,如何找回丟失的密碼及兩步驗證碼。
注意:谷歌所有應用賬戶都是 Gmail 賬戶。本章中,有的地方叫谷歌賬戶,有的地方叫Gmail賬戶,這樣區別是為了與不同場景相適合,但它們本質上是一樣的。
(一)兩步驗證
兩步驗證是保護賬戶安全的新方法(推特、蘋果、雅虎、微軟等大型網路服務商現在也都支持兩步驗證)。應該把兩步驗證做為保護Gmail安全的標準配置。鑒於很多用戶對這種重要保護方法的運行原理還不夠了解,我們在此做詳細的介紹。
所謂兩步驗證,就是登陸谷歌賬戶時,需要輸入兩個密碼。這一改進對於賬戶保護具有很大幫助。但要熟悉它的運行原理,才能夠更好的使用它。本章將介紹如何設置谷歌兩步驗證,獲得兩步驗證碼的方法,添加兩步驗證碼后,在其它電腦和智能設備如何登錄。
1、啟動兩步驗證
使谷歌賬戶只在你的計算機登錄,可獲得更高的安全性。
1)使用兩步驗證必須在Gmail賬戶中綁定一個手機號碼,方法:點擊郵箱右上角的小齒輪「設置」-「賬戶」-「更改帳戶設置」-「其他Google帳戶設置」-「安全性」-「恢複選項」,確認綁定的手機號碼是正確的;
2)到下面的」兩步驗證「位置啟動兩步驗證流程;也可以在登入谷歌賬戶后,通過這個鏈接進入兩步驗證設置頁面:https://accounts.google.com/SmsAuthConfig 如果通過這個鏈接進入兩步驗證設置頁面,你還需要再次輸入郵箱密碼 ,才能開始設置;
3)點「修改」進入設置兩步驗證的頁面(如果從上面的鏈接進入,請點右邊的」開始設置」);
4) ①點「開始設置」,進入四步設置的第一步:填寫手機號碼。如果您填寫過不正確的或已過時的手機號碼,請改成正確的。並在「設置您的手機,您希望我們通過哪種方式向您發送驗 證碼?」下面選擇簡訊或語音電話,然後點「發送驗證碼」;
5) ②轉到「驗證您的手機」頁面。在收到簡訊或語音電話后(如果你選語音電話,谷歌真會把電 話打過來),把得到的驗證碼填寫進去,然後點下一步;
6) ③轉到「信任此計算機?」頁面。會有提示:「受信任的計算機不會在您每次登錄時都要求您輸入驗證碼。 即使您丟了手機,無法獲取驗證碼 ….. 」 注意,這裡有一個「信任此計算機 「的選項,默認是選中的。如果這是你信任的電腦,並且你會經常使用它,那麼就保持選 中狀態,這樣就不必每次進入郵箱都輸入一次驗證碼;如果這不是你信任的電腦,請把勾選去掉。這種情況下,你每次進入郵箱都要輸入手機上新獲得的驗證碼,然後點下一步;
7) ④轉到「確定」頁面,會有提示:「啟用兩步驗證 只有當您使用自己的 [email protected] 帳戶從非可信任電腦或設備登錄時,系統才會每次都要求您輸入驗 證碼。如果您丟了手機,可以隨時在帳戶設置中進行更改」 ,點確認;
注意:如果你在上面一步,也就是③沒有選擇信任當前計算機,並且後來不幸丟失了 手機,登錄谷歌賬戶的方法見本節(三)如何找回丟失的密碼與兩步驗證碼
8) 轉到兩步驗證的管理頁面。在這裏可以做關於驗證碼的更多操作;
9) 這時,谷歌賬戶的兩步驗證就設置完成了,並且該賬戶的驗證碼也已存儲在這台電腦上。
也就是說,在這台電腦上30天之內登錄Gmail賬戶不需要輸入驗證碼(30天後需要使用新的驗證碼登錄)。但如果你在其它電腦上登錄的話,除需要輸入密碼外,還必須輸入驗證碼。也就是說,從現在開始,即使有人知道你的Gmail賬戶的密碼,也不能在這台電腦之外的其它電腦登錄,除非他人能同時得到你的兩步驗證碼。
如果你只在一台信任的電腦上使用Gmail帳戶,那麼兩步驗證設置已經完成,現在退出即可。30天後或你在其它電腦登陸時,谷歌將會給你的手機發簡訊或語音告訴你新的驗證碼。
接下來,如果谷歌檢測到你使用過不支持兩步驗證的設備或程序(只能輸入用戶名和密碼,不能同時輸入兩步驗證碼),比如:一些舊版的安卓智能手機或平板、蘋果手機上的Google應用或者是接收 Gmail 郵件的郵件客戶端軟體。那麼,它會顯示一個請你創建這類應用設備專用密碼的窗口。
2、為不支持兩步驗證的設備生成專用密碼
1) 此時,你可以點擊」以後再說「 離開,也可以點擊 「創建密碼」;
2) 當點擊 「創建密碼」 后,會進入登錄賬戶的頁面;
3) 到兩步驗證的位置,點「管理您的應用專用密碼」;
4) 再次輸入密碼;
5) 在「應用專用密碼」部分的「第一步」輸入一個使用設備的名字,比如:「我的安卓手機」,然後點「生成密碼」;
6) 出現一個供你的應用設備使用的專用密碼;
7) 把這個專用密碼輸入你的設備的密碼框,就可以登錄了。
以上是為老設備而設計的支持兩步驗證的辦法。
如果沒有檢測到你有不支持兩步驗證的設備或程序,谷歌就會引導你進入「不讓您的 Google 賬 戶遭遇鎖定」 的頁面。在這裏,可以點擊「立即更新」 來添加備用電話號碼或列印備用驗證碼。當 你的手機不在身邊或丟失后,谷歌系統可以把驗證碼發送到備用電話號碼上。備用電話號碼可以 是手機也可以是座機。
下面介紹設置兩步驗證后,在其它電腦上登錄的方法。
3、列印備用驗證碼
備用驗證碼是一組預先列印下來的兩步驗證碼。當你的手機不在身邊或丟失后,備用驗證碼仍然可以使你登錄 Gmail 賬戶。
1) 提示需要輸入應用專用密碼,點 「創建密碼」 ,會要求你重新登錄;
2) 登錄后,提示填寫備用手機號碼,提示列印備用驗證碼,點「立即更新」;
3) 進入添加備用號碼和列印驗證碼的頁面;
4) 添加備用手機號碼,在「可列印的備用驗證碼」 右側,點 「顯示備份驗證碼」 並列印它們。
為了預防手機不在身邊,並且你列印的備用驗證碼也用完或丟失了,你還可以啟用移動智能設備 實時生成驗證碼。支持的設備有 :安卓手機、 蘋果手機、 黑莓手機 。
下載地址: https://accounts.google.com/b/0/SmsAuthSettings ,下面以安卓系統為例,介紹使用谷歌身份驗證器的方法。
4、安裝安卓版谷歌身份驗證器
1) 下載地址:
https://play.google.com/store/apps/deta ... enticator2
2) 安裝完成,啟動后,點擊開始設置。可以手動添加賬戶,有條形碼掃描器和手動輸入密匙兩種方式;
3) 如果智能設備沒有安裝條形碼掃描器,程序會引導安裝;
4) 安裝條形碼掃描器后,點擊掃描,掃描「設置谷歌身份驗證器」頁面的二維碼(在 http:// g.co/authenticator頁面)。正確識別後,會在智能設備上顯示一個六位的數字。把這個六 位數字填入驗證碼輸入框,點擊 驗證並保存。顯示 「谷歌身份驗證器設置成功,您的谷歌 身份驗證器應用已成功配置。」表示谷歌身份驗證器與你的谷歌賬戶已成功建立聯繫;
5) 然後,在登錄谷歌需要驗證碼的時候,就可以用智能設備生成驗證碼了。
5、管理兩步驗證碼的更多介紹
1) 可以刪除計算機上存儲的驗證碼。當啟用兩步驗證后,也可以在這個頁面(https://accounts.google.com/b/0/SmsAuthSettings)刪除存儲在本地或其它電腦上的驗證碼;
比如你去親戚家住幾天,並使用了親戚家的電腦。方便起見,你在電腦上保存了驗證碼,當你離開親戚家時,你應該刪除存儲在這台電腦上的驗證碼。如果你離開時忘記刪除了,你不必再回去做這件事情,也不必通知親戚幫你刪除,你可以回到自己家后,在自己的電腦上,選」不再記住所有其他受信任的計算機的狀態「 刪除所有存儲在其它電腦上的驗證碼。這樣,存儲在你親戚家電腦上的驗證碼就被刪除了。如果你在公司的電腦也存儲了驗證碼,同時也會被刪除。
2) 接收驗證碼有四種方式:簡訊、語音、移動設備(智能手機或平板)、從谷歌賬戶列印下來的備用驗證碼;
3) 如果你要在其它電腦上訪問谷歌賬戶,就需要輸入備用驗證碼。可根據情況考慮是否勾選「在此計算機上不再要求輸入驗證碼」;
4) 關於兩步驗證的介紹:http://www.google.com/intl/zh-cn/landing/2step/
使用兩步驗證要點提示
一、啟動兩步驗證;
二、在電腦上使用兩步驗證的方法:
(一)在啟動兩步驗證的電腦上保存下來兩步驗證碼可以使用30天;
(二)30天到期或者需要在其它電腦登錄時得到驗證碼的三種方式:
1、使用列印下來的10個備用驗證碼;
2、用註冊綁定的手機接收簡訊或語音發送的驗證碼;
3、安裝谷歌身份驗證器軟體,實時生成兩步驗證碼。
三、在智能手機或平板上,一些谷歌帳戶或Gmail客戶端不支持兩步驗證,也不支持網頁登錄。遇到這種情況時的使用方法:
(一)在電腦上進入兩步驗證碼管理頁面,生成專用密碼;
(二)把專用密碼輸入智能手機或平板的密碼輸入框登錄。
兩步驗證碼管理頁面功能指示圖
(二)賬戶安全注意事項
1、定期修改密碼;
選擇郵箱右上角的小齒輪,設置-賬戶-更改賬戶設置-「密碼」-「更改密碼」,輸入正在使用的密碼和將要使用的新密碼,新密碼需要輸入兩次,然後點「更改密碼」。
2、設置「更改密碼恢複選項」;
為了使你在忘記密碼時能夠自己恢復密碼,可以設置「更改密碼恢複選項」,具體方法是,接著上面的操作,「更改賬戶設置」-「更改密碼恢複選項」-「帳戶恢複選項」,在這裏可以設置:您的手機號碼、輔助郵箱地址、輔助電子郵件地址、安全問題。
3、在一個賬戶中管理兩個或多個賬戶;
如果你有兩個或兩個以上的Gmail賬戶,並且經常使用它們,那麼可以設置在一個賬戶中管理兩個或多個賬戶。這樣一是方便,另外也能避免因為登陸多個賬戶而增加的風險。
方法是:
1)在主賬戶A做一個「用這個地址發送郵件」的設置,使它能夠以輔賬戶B的身份發郵件。
具體步驟:
a.在A賬戶,點小齒輪,設置-賬戶-用這個地址發送郵件-添加您擁有的B賬戶;
b.在新的小窗口頁面輸入名稱和你希望管理的電子郵件地址,點下一步;
c.顯示「確認您的電子郵件地址」,發送驗證郵件,點發送驗證碼;
d.去B賬戶中,會收到「您已請求將 [email protected] 添加到您的Gmail 帳戶,確認代碼:293203937」。把其中的驗證確認碼293203937,輸到A「輸入和驗證確認代碼框」 中,點確認;
e.小窗口頁面關閉,但在「用這個地址發送郵件」位置,已經多了一個郵箱賬戶。你就可以在A賬戶,代替B賬戶發郵件了。
2)在輔賬戶做「轉發」設置,使它把收到的郵件都轉發到主賬戶:
a.登錄 B 賬戶,點小齒輪,設置-轉發和POP/IMAP;
b.在轉發位置點「添加轉發地址」;
c.在彈出的窗口輸入A賬戶的地址,點下一步;
d.在確認轉發地址,點「繼續」,會顯示「添加轉發地址,已發送確認碼驗證許可權」;
e.再登錄A賬戶,從新接受到的郵件中複製確認碼;
f.將複製的確認碼填寫到B賬戶轉發位置的驗證A賬戶驗證框中,點「驗證」,A賬戶地址會進入B賬戶的轉發列表;
g.在B的轉發列表中點選A賬戶前面的複選框。這樣,B賬戶在收郵件時就會給A賬戶轉發一份。這樣,就實現了在Gmail主賬戶A中,同時收發B賬戶的郵件。用這個方法添 加更多賬戶,就可以在一個Gmail賬戶中,管理多個賬戶郵件了。
4、提防關聯程序非法使用你的信息
修改關聯程序的許可權,選擇「查看關聯的應用和網站」選項下的「查看許可權」。具體步驟:
1) 點小齒輪,設置-賬戶-用這個地址發送郵件-添加您擁有的 B賬戶;
2) 點小齒輪,設置-賬戶-更改帳戶設置-其他谷歌帳戶設置;
3) 在新頁面點安全性;
4) 點安全性頁面最下面「賬戶所授許可權」點「查看全部」;
5) 可能需要重新輸入密碼;
6) 進入「賬戶所授許可權」頁面,會顯示你授權的外部服務或程序。這些程序或服務具有訪問你的谷歌賬戶的許可權,如果不是你授權或你長期不使用的許可權,就點擊它,並選擇右邊的「撤銷訪問許可權」。
5、檢查郵箱底部
1) 經常檢查「上次帳戶活動時間」;
2) 經常查看「詳細信息」,這裡會顯示你的賬戶近期登錄的時間與IP地址。你可以核對它們與你的實際活動是否符合。如果發現在你未登錄的時間,或者未使用的IP地址(比如你在北京,但IP地址顯示為北京以外的地區),可以去這個網址檢查IP地址的地理位置:http://www.ip.cn/,如果發現賬戶有異常活動的記錄,應該立即選「退出其它所有會話」,並修改密碼,以防範風險擴大,並檢查所有可能的破壞,具體方法見下面的內容安全。當然,如果在你使用代理或其它翻牆工具時,IP地址有變化是正常的。
(三)如何找回丟失的密碼與兩步驗證碼
在一些極端的情況下,比如密碼或驗證碼確實丟失或被竊,甚至你綁定的手機號碼與安全問題都被篡改了,在所有安全機制都失效的情況下,你還可以求助谷歌賬戶丟失申訴服務(幸好還有這樣的渠道)。
1、 找回丟失的密碼:回答多個帳戶問題來驗證你的身份。 到這個鏈接https://www.google.com/accounts/recovery/skt,選「我在登錄時遇到其他問 題」。注意,這裏的回答多個問題,並非指註冊時提交的問題:
1) 輸入一個電子郵件地址,以便我們在必要時能夠與聯你系(必填);
2) 填寫你最後一次使用的密碼,最後登錄的時間,以及註冊的時間;
3) 填寫你曾經設定的安全問題,如果已被更改,」跳過「此問題;
4) 經常聯繫人的電子郵件地址(最多五個),標籤名稱(最多四個),第一個輔助郵箱;
5) 您使用的其他 Google 產品;
6) 如果你提供的信息與帳戶中的信息不一致。你還可以嘗試另提交一份更準確的申請表單; 通常,找回密碼是根據你對郵件內容的描述和其它註冊信息結合起來進行核實。
2、 找回丟失的兩步驗證碼:現在總結一下,當你的谷歌賬戶設置了兩步驗證碼后,可以通過電腦預存,手機簡訊或語音接收,列印備用驗證碼,谷歌身份驗證器這四種方式獲得兩步 驗證碼,用來登陸你的谷歌系統。這四種方式,只要其中一種有效的,就可以得到用於登錄的兩步驗證碼。但在一些極端情況下,你的這四種獲得驗證碼的方式都失效了,你仍然可以通過申訴找回你的谷歌賬戶。具體方法:在輸入驗證碼的下面選「無法使用電話?」 然後點擊下一頁中的「我無法使用自己的手機或備用方式」,引導進入申訴流程。與上一 個問題類似,如果他人知道或猜測出了你的郵箱信息,也可以用同樣的辦法得到你的驗證 碼,雖然這並不容易,但總是一個缺口。
二、內容安全
內容安全一節,主要講如何防止郵件內容丟失,以及來自郵件內容的惡意破壞。
(一)檢查設置中是否有未授權的非法竊用
前面介紹賬戶安全,主要是防止入侵者進入你的賬戶做非授權操作,並檢查是否已經有入侵者。那麼,如果有入侵者進入你的賬戶,他們會做什麼呢?一方面是獲取或破壞郵件中有價值的信息,另一方面可能冒充你發送郵件給你的聯繫人,混淆視聽或騙取更多的信息。還有一種可能,他們只是不動聲色的設置一些後門,為今後獲取更多信息留下路徑。包括三種情況:
1、「轉發和POP/IMAP」;
2、「過濾器」轉發;
3、「授權訪問」,以下分別介紹:
● 檢查「轉發和POP/IMAP」;
○ 檢查是否啟用了POP或IMAP;
○ 檢查是否啟用了轉發;
如果有不是你設置的轉發或POP或IMAP,立即停用或刪除它們。
● 檢查 」過濾器」;
○ 如果存在內容為「轉發郵件」的任何過濾器,請檢查以確保它們是你設置的地址。點擊過濾器右側的編輯或刪除可進行更改;
○ 檢查其它的過濾器,確保它們都是你自己設置的;
● 檢查「授予訪問您帳戶的許可權(允許其他人代表您閱讀併發送郵件)」;
○ 如果此許可權被非法開啟,應立即刪除,制止未經你授權的賬戶訪問你的郵箱。
(二)內容安全的其它注意事項
1、啟用輔助備份郵箱;另外申請一個郵箱,用自動轉發或過濾轉發方式把主郵箱的所有往來郵件都往備份郵箱發一份。這樣,當主郵箱受到破壞時輔助郵箱會有備份;經常檢查是否有人非法修改了你的輔助郵箱。
2、警惕惡意附件及鏈接 有些惡意程序會隱藏在郵件的附件里;有些惡意的鏈接會隱藏在郵件的正文中。在收到來源不明或朋友發來的異常郵件時,不要輕易下載附件或點擊其中的鏈接。
3、重要的聊天內容選擇 「不保存環聊記錄。
最近有關於Skype透露用戶隱私的報道,Google Hangouts是一個不錯的替代聊天工具。Gmail環聊的文本內容默認是保存的。如果你聊的是一些私密內容,可以啟用「不保存環聊消息」。啟用此功能時,聊天雙方都不保存文本內容。已經保存下來的聊天記錄,你也可以選擇性刪除。刪除后要到「已刪除郵件」中再選擇 「永久刪除」。
4、通訊錄中的聯繫人被刪除后,30天內可以恢復 通訊錄中的聯繫人,如果被你不小心刪除,或被入侵者惡意刪除的話,可以選擇還原通訊錄,恢復被刪除的聯繫人,最長保留時間是一個月。具體方法如下:
1)在Gmail郵箱,左上角的谷歌圖標下面,點Gmail右邊的小三角-通訊錄,進入通訊錄界面;
2)點右側上方的「更多」-「還原通訊錄」;
3)在彈出的小窗口選擇你要還原的時間,然後點「還原」,就完成了還原操作。
不安全的 Gmail 運行環境,包括電腦、智能手機、平板的系統環境,它們也會給 Gmail 帶來風 險。因此,保護 Gmail 不只是保護賬戶及內容的安全,還需要注意 Gmail 運行設備及系統環境的 的安全。關於這方面的內容,在《安全使用國產軟體》以及《網路及電腦安全》兩章會有介紹。
三、兩個問題
(一)郵件群發
比如,某機構在香港組織一個活動,邀請了30人參加,活動議程和邀請都是通過郵件中的(密送)功能群發的。但可能其中某一人的郵箱被盜,30人全部被阻止出境。我們的問題是:從密送郵件中能否查看到其它活動受邀者名單?有沒有更安全的方法?
密送的郵件不包含密送收信人的信息,所以,密送的收信人,不可能知道發送者還給哪些人人密送了此郵件。
如果出現上例中的情況,有可能是香港發信者使用的郵件伺服器丟失了信息,或者是從其它非郵 件渠道(比如其它社會關係或信息傳輸渠道)泄露的信息。
如果是從伺服器丟失信息,那麼一個更安全的方法是從不同的Gmail郵箱分別發出郵件,這樣即使消息泄露,也不至於全軍覆沒;如果是其它非郵件渠道泄密的話,就需要其它相應的安全防護 辦法。
(二)備用驗證碼問題
如果郵箱被盜,10個備用驗證碼被盜竊者列印,兩步驗證的安全措施如何保障?下面假設的情景是:有人進入你的郵箱,列印走了備用驗證碼,但沒有修改你的密碼,所以你還可以進入自己的郵件,但你擔心無法阻止他人再次進入。在這種情況下,是沒有辦法阻止得到備 用驗證碼的人再次進入你的郵箱。但是,你可以檢查備用驗證碼是否被他人使用。因為谷歌驗證 碼管理程序會記錄你列印出的備用驗證碼已經使用了幾個。檢查方法是,到兩步驗證管理頁面 https://accounts.google.com/b/0/SmsAuthSettings 在「如何接收驗證碼」-「可列印的備用驗證碼」右側點擊」顯示備份驗證碼」,查看是否有你沒有使用的驗證碼已經被他人使用。如果你的備 用驗證碼已被使用,請點下面的「生成新的驗證碼」,讓過去的備用驗證碼全部失效。
