V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zictos
V2EX  ›  Android

谷歌账户现在的安全政策到底是怎样的?如果手机未登录过谷歌账户就即便知道密码也无法登录谷歌账户了吗?

  •  2
     
  •   zictos · 339 天前 · 6214 次点击
    这是一个创建于 339 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个账户在新设备或新地方登录,明明输入正确的密码,还提示需要通过已登录的安卓手机进行验证,明明有设置辅助邮箱,但没有任何通过辅助邮箱进行验证的地方。

    那如果手机没登录过呢?或者手机数据意外丢失或者手机丢失了呢?

    28 条回复    2023-05-19 15:26:40 +08:00
    lzk800
        1
    lzk800  
       339 天前   ❤️ 1
    这就是两步认证啊,除了手机 App 也有其他验证方式的,在登陆界面有选择的
    zictos
        2
    zictos  
    OP
       339 天前
    @lzk800 #1 在谷歌账号中心看到两步验证是关闭状态,有的时候登录的时候会弹出界面要你确认并选择一个数字,有的时候要你通过手机进入账户中心找到安全性并提供安全码,
    zentst
        3
    zentst  
       339 天前
    你有多个设备使用同一个谷歌帐号时候才会要求验证吧,我以前只有 iphone 时候,就只会验证手机,后面多了平板和安卓机才有设备认证,而且你能在要求验证的页面选择其他验证方式的。
    nothingistrue
        4
    nothingistrue  
       339 天前   ❤️ 1
    Google 现在家大业大,在防止账号共享的程度上,跟微信有得一拼。

    能出现弹出界面选择数字的情况,这 100%是有手机绑定过 Google 账号。Google 现在将激活过谷歌账号的手机设备为强制为两步验证的首选工具,并且这个两部验证方式不归属于账户中心里面那个两步验证,看不到,也无法关闭——理论上,只要那个手机移除了谷歌账号就能关闭,但 Andorid 手机移除谷歌账号等同于恢复出厂设置。

    如果你开了两部验证,那么手机设备只是默认两部验证工具,你仔细找找是能切换到其他方式的。如果你没开过两部验证,那手机设备将是你唯一的两部验证工具,手机丢了账号就丢了。另,辅助邮箱不属于两部验证工具。能当作两部验证工具的,除了 Andorid 手机,就只有绑定的手机号。
    mhj144007
        5
    mhj144007  
       339 天前
    用短信验证登录,知道密码没用
    zictos
        6
    zictos  
    OP
       339 天前
    @zentst 是的,可能就是因为在手机登录过,但怕就怕哪天手机上的登录信息被清除了或者手机损坏以及丢失之类的。

    我试了下使用其他方式都是走不通的,点击选择其他方式后会出现如下图所示的选项:
    https://img.alicdn.com/imgextra/i1/78065018/O1CN01LouiLZ1mwIID6vR2m_!!78065018.png
    前两个选项都必须是手机可用,最后一个选项只是告知为何要使用手机,如下图所示:
    https://img.alicdn.com/imgextra/i4/78065018/O1CN01tDtx0S1mwIIC4ilb8_!!78065018.png

    所以只有第三个选项“获取帮助”进行账户恢复是有可能走得通的,不过我试了下,点击后需要先输入密码,但我那个只绑定邮箱的账号输入密码后并没提示要我验证邮箱,而是只提示“您提供的信息不足以让 Google 认定您确实是这个帐号的所有者”,到这一步就没有任何其他办法了。
    我还试了一个即绑定了邮箱和手机的账号,在输入密码后提示要我输入账户中绑定的手机号码,我输入手机号码后并没有提示发送了验证码给我,而是又重新弹出要在手机上点击确认并选择数字了,但这个如果手机上的登录状态不在了就根本无法进行这一步操作的。可能是谷歌认为我手机上有登录这个账号,就没有发短信给我,但我特意把手机设为了飞行模式还是不行。

    所以经过的尝试就是如果我的手机用不了,我的所有账号都无法再登录了,没有一条路是走得通的。
    zictos
        7
    zictos  
    OP
       339 天前
    我现在不知道有没有什么办法在我手机损坏或者由于其他原因用不了的情况下我不需要承担这个风险,好像没有任何办法了
    zictos
        8
    zictos  
    OP
       339 天前
    @nothingistrue #4 我暂时无法测试出在手机损坏后是否可以通过手机短信验证码进行验证,目前试了是不行的。

    移除谷歌账号就可以吗?怕就怕万一不可以,那账号就丢了。我就是想关闭这种方式,如果不关闭,实际更不安全,只要手机出问题就等于账号没了。
    atuocn
        9
    atuocn  
       339 天前
    唉,我的账号就这么丢了。密码也知道,手机也收到验证码,就是不让登。发反馈,回了一次说账号正常。再发就不再理我了。
    MrGba2z
        10
    MrGba2z  
       339 天前
    我不知道你具体是怎么操作的 但是我刚用一个比较新的号测试下

    账号开启了二步并且用短信验证
    1. 新设备登录会发短信给我(国内手机号)
    2. 尝试登录过一次安卓手机后,自动将该安卓手机添加到二步验证方式里 ( Google Prompts )
    3. 再次登录新设备,默认在安卓手机上触发 Google Prompts ,可选择改为短信验证

    另外邮箱是不能做二步验证的,他只能作为恢复手段。

    你移除安卓手机上的谷歌账号只是移除了一个额外的二步验证方式而已,除非你取消二步验证,否则并没有额外地帮助。( Google Prompts 并不会强制你必须使用他来验证)
    MrGba2z
        11
    MrGba2z  
       339 天前
    @zictos

    > 这个两部验证方式不归属于账户中心里面那个两步验证,看不到,也无法关闭
    可以看到。也可以移除 (可以网页上移除那个设备的 Google 账户),但 Google Prompts 永远是默认方式。想要用别的方式每次都要额外点一下其他方式按钮
    Stoney
        12
    Stoney  
       339 天前 via iPhone
    有辅助邮箱也不行?现在这也太难了
    Xianmua
        13
    Xianmua  
       339 天前 via iPhone
    前几天 tampermonkey 通过 google drive 同步脚本,用 google 账户授权时,突然账户全部退出提示验证。没开两步验证没绑手机号,只有个辅助邮箱还根本不让用来验证,只能用登陆这个账号的移动设备扫二维码验证授权。登陆上后马上添加了两步验证器(可以用 authy 有云备份),防止突然被锁找不到验证办法。
    zictos
        14
    zictos  
    OP
       339 天前
    @MrGba2z #10 意思是要在手机上(非浏览器)进行新设备登录才会发短信吗?
    我不知道开启了二步验证跟未开启二步验证在新设备登录时是不是一样的,反正我的都没开二步验证。
    另外可能谷歌短时间意识到我的手机处于在线状态,所以我在浏览器登录时即便把手机设为了飞行模式也没有发短信给我。

    我的情况就是没有开启二步验证,并且是远程开了一台 windows 服务器,在浏览器登录时输入密码后提示要在手机上确认,我在浏览器上选择其他方式,输入了手机号码后并没有发验证码给我,依然还是提示要在手机上确认,把手机设为了飞行模式也一样。可能是短时间谷歌识别到手机是在线的,我不知道如果手机长时间不在线了,我是否可以在浏览器上登录时收到谷歌的短信验证码。
    另外邮箱现在起不了任何作用,整个过程都没任何提示邮箱验证的地方,我那个只绑定了邮箱的账号找不到任何恢复选项,输入密码后直接提示“您提供的信息不足以让 Google 认定您确实是这个帐号的所有者”
    zictos
        15
    zictos  
    OP
       339 天前
    @Xianmua #13 不知道如果你的移动设备损坏了或丢失了是否这个账号就没了?
    现在开两步验证更安全吗?可以获得更多验证方式?看到好像有身份验证器,暂时没尝试,不知是否能不通过手机上登录的账号而是只通过身份验证器进行验证。
    dann73580
        16
    dann73580  
       339 天前
    最好的办法就是绑定 2fa 用动态口令,然后选一个可以云同步的,比如 1password 来保存。
    MrGba2z
        17
    MrGba2z  
       339 天前
    @zictos

    如果你确定没有开 2SV (二步验证)的话并且假设你的新设备在同一个 IP ,那么你触发这个情况很可能是因为你用的密码被判断为有安全隐患。(比如在别的地方被拖库过)这种情况下 SMS 这种弱 2SV 方式会被禁用,基本上只能靠强 2SV (基于信任设备的)。

    你可以尝试下用现有设备等登录进去修改一个新的密码然后再试试用新设备登录,按理说 SMS 就能用了。


    --
    顺便说下:关闭手机(或者飞行模式)触发 SMS 的情况是可以的(因为 Google 在认为你别的可信任设备 [强 2SV] 就在身边的时候,有时候会停用 SMS 的 2SV ),但前提是你的号没进风控+密码没问题。

    --

    > 所以只有第三个选项“获取帮助”进行账户恢复是有可能走得通的,不过我试了下,点击后需要先输入密码,但我那个只绑定邮箱的账号输入密码后并没提示要我验证邮箱,而是只提示“您提供的信息不足以让 Google 认定您确实是这个帐号的所有者”,到这一步就没有任何其他办法了。

    正常来说是可以的,但如果你的密码有安全隐患会导致失败。你可以选择忘记密码然后用备用邮箱恢复。
    777777
        18
    777777  
       339 天前
    现在这些大厂真恶心,干个啥都要手机,那密码有什么用
    invalid522
        19
    invalid522  
       339 天前 via iPhone
    @777777 本身大厂就想通过 2fa 或者 authenticator 等手段完全取代传统的密码……
    nothingistrue
        20
    nothingistrue  
       339 天前
    @zictos #8 你需要额外再开“身份验证器”应用(即 TOTP )方式的两部验证,这样的话手机设备将只是默认而不是唯一的两部验证方式,当手机坏了的时候可以用 TOTP 方式做两步验证。TOTP 方式是公用协议,你可以用任何客户端做,不被绑定在谷歌,或者手机上。我上谷歌账户看了一下,谷歌现在认证的两部验证方式,就只有 Android 手机设备和 TOTP (身份验证器)了,其他的,别说邮箱,就是手机号,都不认。不要想不绑定任何两部验证方式,如果是既没绑定过 Android 设备,又没开过两部验证,又没绑定过手机号,又不经常使用的高度匿名账户,跟微信一样,100%被冻结。

    初次使用 TOTP 方式可能会有点麻烦,但是稍微学习并做一些手工工作之后,后面就会非常方便了。我这边用的方式是:Keepass + 其 TOTP 插件 + Onedrive 自动同步,来做密码管理和两部验证的保底工作;浏览器自动记住密码作为非重要密码的快速使用方式; Microsoft Authenticator 作为备用两部 TOTP 客户端(即 Google 所说的身份验证器)。

    如果要求不高的话,一个 Microsoft Authenticator 或者任何支持云同步的 TOTP 客户端就足够了。但这种情况下务必要在一个可靠的地方,保存好每个账号的 TOTP Seed/SecretKey ,以及开通两步验证时候给的备用验证码。因为即使是微软,也不会 100%保证云同步不出问题。
    nothingistrue
        21
    nothingistrue  
       339 天前
    @invalid522 #19 2fa 是在密码之外再做一个其他方式的认证,不是替代密码,你还是要输密码的。像谷歌这个,你就算开了两部验证,开了手机设备提示,也得先输入密码然后再用手机提示。

    免密,并且仅用于用户安全而非用户跟踪得登录方式,目前就微软在做和敢做,但也仅用于微软自己的账户,Microsoft Authenticator 在第三方账户上只是 2FA 不是免密登录。苹果那边没用过不清楚。谷歌是没胆做,Google Authenticator 就只是个 2FA 客户端不是免密登录,虽然绑定谷歌账号的 Android 设备可以在部分场景用来做免密登录,但大多数高安全性的场景都会要求你再次输入密码。就是微信这傻批,密码也是比手机短信码更有用的。
    hyshuang2006
        22
    hyshuang2006  
       339 天前
    但凡有 2 次认证,即便手机被偷了,硬件 Key 也在身上,还是可以通过自己电脑登录 google 账户,因为曾经登录锅,并且确认该电脑无需再次进行 2 次认证。

    google 搞那么多,不过是为了避免用户账户被盗。还有国内恶心,动不动就人脸识别。
    fan123199
        23
    fan123199  
       338 天前
    这不是防止帐号共享。因为你同意后,以后这台设备就能用这个帐号了。
    @nothingistrue

    理论上,用设备验证应该是最方便了,只需要点一下同意。up 的问题是其他方式的入口都没有了。这个我感觉设备丢失后应该有人工申述通道。

    再回答下 21 楼,不是只有 ms 在做免密,有 FIDO 联盟在推动,几大系统产商合作推进,其实业界知道密码这种方式落后,但是更安全的方式需要一套标准来推动。 另外你说的微软自己账户可以免密,没看出和 Android 上 Google 免密有什么区别。Google 高安全性的场景再次验证密码,只是安全策略问题,并不是不支持免密。
    nothingistrue
        24
    nothingistrue  
       338 天前
    @fan123199 #23 同意个屁,你倒是去试试能不能一边 Android 手机正常使用谷歌服务,另一边这个账号只启用 TOTP 两步验证。

    Microsoft Authenticator 只要你开了,你可以永远不用密码,包括高安全性要求的场景;同时你也可以永远使用密码,Authenticator 免密登录是可选的:Authenticator 跟密码是地位等同的,Authenticator 仅提供方便性和减少密码传输的安全性。Google 就是没胆做,不要拿安全策略说事,安全策略上选择高安全场景回落密码,不就是还把密码当作唯一最高认证方式吗。
    fan123199
        25
    fan123199  
       327 天前
    @nothingistrue 我反驳你主要来自“没胆”这个词,说的好像 Google 做不来,然后就不做似的。 我认为 Google 和 MS 的区别只是进度上的区别。现在好了,Google 也达到了你的标准了,现在高安全性场景也不用密码了。https://support.google.com/accounts/answer/13548313?visit_id=21683441700560-6483375171560229819&p=passkey&rd=1
    nothingistrue
        26
    nothingistrue  
       326 天前
    @fan123199 #25 你拿一个传统的硬件级别密钥登录,来碰瓷免密登录。你还是先去用一下 Microsoft Authenticator 吧,我看你根本不知道兼顾安全性和方便性的免密登录是啥。
    Andnot
        27
    Andnot  
       315 天前
    @nothingistrue 「如果是既没绑定过 Android 设备,又没开过两部验证,又没绑定过手机号,又不经常使用的高度匿名账户,跟微信一样,100%被冻结。」
    我去,这说的不是就是我的 Gmail 帐号么,就没有可找回的办法吗?
    stcode
        28
    stcode  
       315 天前
    之前 google voice 被回收,刚好二次验证的数据搞丢了未备份,导致丢了好几个谷歌账号
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2482 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:46 · PVG 23:46 · LAX 08:46 · JFK 11:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.