共计 3393 个字符,预计需要花费 9 分钟才能阅读完成。
数百万 Gmail 用户将于 9 月 30 日星期一上班时面临新的密码规则,这些规则旨在使全球最受欢迎的免费电子邮件服务更加安全。Google 将不再支持从被认为安全性较低的应用程序、第三方或仅通过用户名和密码登录保护的设备访问 Gmail 账户数据。以下是您需要了解的内容。
告别 Google Sync 和安全性较低的应用程序支持
如果 Google 正在全面改革密码安全性的消息让您感到惊讶,那么您可能没有关注。从 [向 Windows、macOS、Linux 和 Android 用户引入 passkeys](https://www.forbes.com/sites/daveywinder/2024/09/20/did-this-new-google-chrome-security-move-just-make-passwords-obsolete/ “https://www.forbes.com/sites/daveywinder/2024/09/20/did-this-new-google-chrome-security-move-just-make-passwords-obsolete/”),到[用于攻击预防的后量子加密技术](https://www.forbes.com/sites/daveywinder/2024/09/18/google-confirms-new-quantum-encryption-for-chrome-is-coming-nov-6/ “https://www.forbes.com/sites/daveywinder/2024/09/18/google-confirms-new-quantum-encryption-for-chrome-is-coming-nov-6/”),Google 本月一直在积极加强安全性。关于这一特定的 Gmail 密码安全更新,Google 自[一年前发出通知](https://workspaceupdates.googleblog.com/2023/09/winding-down-google-sync-and-less-secure-apps-support.html “https://workspaceupdates.googleblog.com/2023/09/winding-down-google-sync-and-less-secure-apps-support.html”) 以来已经忙碌了 12 个月。为了淘汰过时的用户名和密码登录方式,并减少 Gmail 用户的风险,Google 要求所有 Google Workspace 客户使用更安全的访问类型登录,以便应用程序访问 Gmail 数据。这种访问方法是 OAuth,您可以在 [这篇文章](https://www.forbes.com/sites/daveywinder/2024/09/05/new-gmail-app-access-password-deadline-you-have-4-weeks-to-comply/ “https://www.forbes.com/sites/daveywinder/2024/09/05/new-gmail-app-access-password-deadline-you-have-4-weeks-to-comply/”) 中了解更多关于即将变化的警告。新的 Gmail 应用程序访问密码规则适用于所有 Google Workspace 账户,CalDAV、CardDAV、IMAP、POP 和 Google Sync 将不再支持基于密码的登录凭证。
哪些 Gmail 用户会受到新应用程序密码截止日期的影响?
关于从安全性较低的应用程序访问 Gmail 数据的新安全规则适用于所有使用 Google Workspace 工具套件的客户。实际上,Google Workspace 管理控制台已经删除了安全性较低的应用程序设置,以通过禁用使用此方法添加新账户来简化过渡。个人 Gmail 账户持有者不受影响,尽管他们将无法从 Gmail 账户设置中切换互联网邮件访问协议(IMAP),因为 Google 表示:“IMAP 访问始终通过 OAuth 启用,您当前的连接不会受到影响。”然而,对于 Google Workspace Gmail 账户的用户而非管理员,Google 建议您采取以下三项具体行动,以确保在新规则生效时不会收到“用户名和密码不正确”的错误消息。
- 如果您使用 Outlook 2016 或更早版本,您必须迁移到 Microsoft 365 或 Windows 或 Mac 版的 Outlook。
- 如果您使用 Thunderbird 或其他电子邮件客户端,您必须再次添加您的 Google 账户并配置它以使用 OAuth 的 IMAP。
- 如果您使用 iOS 或 macOS 上的 Mail,您必须使用 Google 登录选项以启用 OAuth。这将涉及删除并重新添加您的账户。
Yubico 研究揭示了令人担忧的密码不安全意识缺乏
硬件安全密钥供应商 Yubico 最近发布的研究揭示了为什么 Google 决定采取严厉措施减少安全性较低的应用程序访问 Gmail 账户不仅是合理的,而且是必要的。[全球身份验证状况调查](https://www.yubico.com/press-releases/despite-increasing-cybersecurity-attacks-people-still-believe-antiquated-username-and-passwords-are-strong-enough/ “https://www.yubico.com/press-releases/despite-increasing-cybersecurity-attacks-people-still-believe-antiquated-username-and-passwords-are-strong-enough/”)调查了来自世界各地的 20,000 人,包括美国和英国,以了解普通用户的风险感知。
不出所料,超过一半(58% 个人,54% 工作)的人表示他们使用用户名和密码组合登录他们的账户。同样不足为奇的是,39% 的人认为这是最安全的账户授权方法,37% 的人认为基于短信的双因素认证也是如此。令人震惊的是,40% 的人表示他们认为他们使用的应用程序和服务没有采取足够的措施来保护他们及其数据。然而,近四分之一(22%)的人从未进行过任何个人网络安全审计,以查看他们自己是否可以做得更多。
“由于大多数网络攻击都是由于被盗的登录凭证,令人担忧的是,仍有如此多的人依赖这种过时的身份验证方法,显然改变不仅是需要的,”Yubico 标准和联盟副总裁 Derek Hanson[表示](https://www.yubico.com/blog/2024-global-state-of-authentication-survey-qa-with-yubico-vp-derek-hanson-on-a-passkey-future/ “https://www.yubico.com/blog/2024-global-state-of-authentication-survey-qa-with-yubico-vp-derek-hanson-on-a-passkey-future/”)。Hanson 总结道,好消息是“联邦层面正在进行有影响力的工作,例如[NIST 修订其身份指南](https://www.forbes.com/sites/daveywinder/2024/09/24/why-you-shouldnt-change-your-passwords-like-its-1999/ “https://www.forbes.com/sites/daveywinder/2024/09/24/why-you-shouldnt-change-your-passwords-like-its-1999/”),这将影响扩展可接受的安全解决方案定义。”希望 Google 的努力也将增加这一全球影响力的分量。
总的来说,Google 的这一举措不仅提升了 Gmail 的安全性,也为整个互联网安全环境树立了新的标杆。随着越来越多的用户意识到旧有安全措施的不足,我们期待看到更多创新的安全解决方案被广泛采用。
