Gmail/Google 帳戶安全

前幾天 PTT 的 Google 板上有人說他／她的 Gmail 信箱被駭了，接著有人回覆分享資訊安全的經驗，引起不小的迴響。該分享文的重點有二：

1. 不要所有網站都用同一組密碼，建議要把密碼分級。
2. Google 帳戶的話可以打開「使用兩步驟驗證」。

第一點我是早就行之有年，而且我還把各級密碼搭配上帳號及網站關鍵字，進一步為各網站產生獨一無二的雜湊 (hash) 密碼，然後再用帳號和雜湊密碼登入網站。此外，我也定期以自己的規則修改關鍵字，來產生新的雜湊密碼。這樣的優點是密碼強度較高、較不易被破解，而缺點是得依賴所用的雜湊程式，沒有它就沒辦法登入網站了。

第二點則是 Google 在去 (2010) 年九月以及今 (2011) 年二月分別推出給 Google 應用服務和一般 Google 帳戶使用者的兩步驟驗證登入功能。啟用該功能後，登入時除了輸入原本的帳號和密碼外，還要再另外輸入一組驗證碼，這組驗證碼可由下列方式取得：

• 電話語音。
• 手機簡訊。
• 智慧型手機 (或行動裝置) 上的 Google Authenticator 應用程式。

有了這個功能，就可以大大降低帳戶被入侵的可能性，因為登入時不但要知道帳戶的帳號及密碼，而且也要擁有帳戶所關聯的電話／手機，否則就無法成功登入。

本來我不確定台灣是否能使用兩步驟驗證，不過看到 PTT 那篇分享文作者有推文說：

兩步驟台灣可以用，只是沒有中文說明。

我就照著 Google 帳戶中兩步驟驗證設定精靈的流程跑過一遍，目前已正常使用中，下一篇文章再來分享相關的設定流程。

最後，補充幾篇 Google/Gmail 帳戶官方說明中不錯的文章：

• 保護您的帳戶。
• 選擇安全強度高的密碼。
• Gmail 安全性檢查清單。
• 新增救援選項至您的帳戶。
• Account recovery via SMS (透過簡訊服務進行帳戶救援)。