Gmail 信箱非常普及,很多人在收信時並不會用 Google 自家的應用,可能因為各種功能性或個人考量而以第三方郵件應用串接 Gmail 為主。從幾周前開始,有人開始注意到 Outlook、Thunderbird 和其他電子郵件應用程式開始提示輸入Google 密碼,但在重新輸入密碼後系統卻拒絕並認為它不正確。
Google開始限制第三方郵件應用接入Gmail,安全考量需支援需OAuth 2
許多第三方郵件應用都非常好用,但因為在啟用後允許用戶以主要的 Gmail 郵件信箱和密碼登入,從而削弱了 Google 帳號的整體安全性。現在,Google 將開始鎖定旗下的 Gmail 與連接到第三方電子郵件應用程式的方式,以達到最終淘汰安全性較弱的應用程式。
這個鎖定並不代表你就不能用第三方應用來收發 Gmail 信箱的信件,而是第三方應用必須支援 OAuth2 (此為一種對話視窗式的身分驗證方法,允許你透過登入 Google 並授權應用存取你的 Google 帳戶以進行身分驗證),或者你必須為該應用設定一個專屬的密碼,並且與 Google 帳號上的雙重身份驗證搭配使用。
不過目前大多數的第三方郵件應用尚且無法處理雙重驗證,因此你無法輸入身分驗證代碼,所以才會衍生出為每個應用自訂特殊密碼的形式。建立後,你將不會在 Outlook 等應用中直接用 Google 帳號密碼來登入,而是以自訂密碼替代之。不過目前為止還是有人尚未在 Google 帳號上啟用雙重驗證,但雙重驗證的確能夠大大提高 Google 帳號的安全性,這種類型身分驗證分成三種不同形式:
- 你知道的東西:如密碼等
- 你擁有的東西:如手機號碼用於接收簡訊等
- 你本身的東西:如指紋、臉部識別等
倘若沒有啟用雙重驗證,你所擁有的只有「你知道的東西」,不過這個也可能是攻擊者所知道的事情,來源很可能是你不小心從網路釣魚電子郵件中提供了憑證或是不肖人士侵入網站後的非法獲取。啟用雙重驗證後,即使攻擊者找到密碼,他們也必須提供你擁有的東西和你本身的東西來登入帳號。