Google 兩步驟驗證將以手機提示取代簡訊

因應簡訊傳送一次性密碼的兩步驟驗證既麻煩又有被攔截之虞， Google宣佈自本周起將推動以手機提示取代簡訊的作法。
 
傳統上兩步驟驗證（two step authentication）是網站以簡訊傳送一次性密碼，再由使用者手動輸入密碼到網站中。但是這種作法可能遭到駭客利用電信業所使用的SS7協定漏洞攔截用戶密碼，進而破解。
 
去年6月Google首先推出Google Prompts帳號驗證，讓旗下服務如Gmail及Google +用戶登入網站時，手機會接到Google以加密傳送的Prompts，按下完成驗證後登入，除了可免於密碼被中途攔截，也較兩步驟驗證更簡便。這項服務今年2月又再強化，Prompts內新增訊息，像是要求登入的時間及地點等。
 
Google表示，利用帳號驗證，而非簡訊，公司管理員將可確定行動政策在員工手機執行，而且是在加密連線下完成驗證。
 
從本周開始，還在使用簡訊式兩步驟驗證的用戶將會接到Google邀請試用Google Prompts，鼓勵使用者轉換成新的驗證方式。不願轉換且自願退出（opt out）者還是可以拒絕，但接下來6個月還是會持續接到Google的邀請。
 
只有簡訊兩步驟驗證的用戶會接到上述邀請。使用安全金鑰登入，包括G Suite用戶將不受影響。此外，iOS裝置用戶必須先安裝Google Search app才能使用Google Prompt。