撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
在互联网时代,随着人们保护个人信息的安全意识不断提升,各国对隐私保护的监管措施也愈发严格,电子邮件作为人们互相交流的重要方式,对其进行信息安全保护的必要性日益升高。然而,近期频繁出现的邮箱信息泄露事件,使得邮箱信息安全问题成为了广大用户高度关注的焦点,为了应对网络安全威胁的不断升级并避免潜在的隐私法规处罚,各大服务商纷纷加强自身的邮箱信息安全保护措施。
本文将通过分析 Google 和 Microsoft 近期实施的安全措施,探讨海外邮箱信息安全保护的发展趋势。
Google 的安全措施
Google 正在加强对“安全性较低的应用”(Less Secure Apps, LSA)的管理,并准备提高对 Gmail 账户的身份验证标准。实际上,从 4 月 1 日开始,所有向 Gmail 账户批量发送邮件的发送者都需要满足特定的身份验证要求,否则这些邮件将被拒绝。近期,Google Support 页面发布的信息显示,从 2024 年 9 月 30 日起,Google 将不再支持仅使用用户名和密码进行身份验证(传统身份验证方式)的第三方应用和设备访问 Gmail 、日历和联系人账户。在 9 月 30 日之后,任何仅使用用户名和密码进行身份验证的应用程序在尝试访问用户的 Google 账户(如获取 Gmail 、联系人信息)时都会引发错误。Google 表示,这些错误通常会显示为“用户名无效”、“密码无效”或“无法登录”。
事实上,Google 已经从 Google Workspace 的管理控制台中移除了 LSA 设置,但在 6 月 15 日之前可以访问 LSA 的用户可以继续使用它们直到 9 月 30 日。9 月30 日后,之前通过 LSA 登陆邮箱的用户需要先移除 Google 账户,然后再重新添加并登录此账号,但在登录时要通过“使用 Google 登录”选项登录,该登录方式将比传统身份验证方式更具有安全性。同时,由于 Google Sync (谷歌同步)不支持 OAuth(开放授权)身份验证、双因素验证(2FA)以及安全密钥,Google 认为使用 Google Sync 会使数据安全性降低,因此决定关闭邮件的 Google Sync ,同时建议用户尽快过渡到更安全的替代方案。
Microsoft 的安全措施
6月12日,在一篇 Microsoft 的官方博客中,负责 Microsoft Tech Community 的员工 David Los 证实 Microsoft 将实施一系列提高 Outlook 用户安全性的措施。具体而言,Microsoft 推出了三项新的安全措施:包括不再支持仅使用用户名和密码进行身份验证(传统身份验证方式)的个人 Outlook 登录,停用 Outlook Web 应用程序的轻量版,以及停止对邮件和日历应用程序的支持。根据这些措施,从 2024 年 6 月 30 日起,Outlook 的网页版用户将无法再通过 Outlook 访问他们的 Gmail 账户。如果用户想继续使用 Outlook 访问 Gmail ,他们需要使用 Android / iOS 或 Windows / Mac 的 Outlook 应用。Outlook Web 应用程序的轻量版将于 8 月 19 日停用,而 Outlook 个人电子邮件账户的传统身份验证方式将于 9 月 16 日停用,这意味着所有拥有 Microsoft 电子邮件账户的用户必须使用支持现代身份验证的邮件应用或 Outlook.com 网站才可以登录自己的 Outlook 邮箱,如最新版本的 Outlook、Apple Mail 或 Thunderbird 。
Microsoft 实施这些措施的理由与 Google 相同,即提高用户数据的安全性。David Los 表示:“我们要求所有 Outlook 客户采用现代身份验证方式,以更好地保护他们的个人账户安全。”所谓“现代身份验证”方式,包括OAuth(开放授权)、双因素验证(2FA)等相较于传统方式安全性更高的身份验证方式。Microsoft 建议用户下载适用于 Android / iOS 或 Windows / Mac 的 Outlook 应用。
Microsoft 表示,尽管这些措施可能给许多用户带来一些不便,但其出发点是好的:保护用户的账户安全。被泄露的邮箱信息经常被用于黑客攻击,而现代身份验证方式能够显著降低这种风险。因此,任何能够增强账户安全性的措施都是值得欢迎的。
启示
Google 和 Microsoft 的措施表明,随着全球数据隐私法规(如 GDPR、CCPA 等)的全面实施,以及用户对个人数据安全性关注度的不断增强,邮箱服务商正在采取一系列前瞻性的策略以符合合规性要求。在技术措施方面,强化认证安全性成为当前的主要趋势。主流邮箱服务商倡导推广现代认证技术(如 OAuth 和双重认证),以提升用户账户的整体安全性。其中,OAuth(开放授权)和双重认证(2FA)成为主流。OAuth 允许用户在不暴露密码的情况下授权第三方应用访问其账户信息,极大减少了凭证被盗用的风险。双重认证通过增加一个额外的验证步骤(如短信验证码或应用程序生成的代码),进一步增强了账户的安全性,即使密码泄露,攻击者也难以获得完全访问权限。
这些安全措施的实施将显著提高 Gmail 及其他 Google、Microsoft 服务的安全性,减少恶意邮件和未经授权访问的风险。然而,这也对依赖传统身份验证方式的应用程序提出了新的挑战。开发者需要更新其应用程序,以支持现代认证方法,并确保其用户能够顺利过渡到新的系统。用户则需要了解和适应新的登录流程,确保其账户安全。
尽管这些变化在短期内可能增加了开发者和用户的负担,但从长远来看,这些改进将有助于建立一个更安全的互联网环境。随着用户对个人数据安全性的关注度不断提升,邮箱服务商的这些前瞻性策略不仅符合合规性要求,还将增强用户对其服务的信任,进一步巩固其市场地位。
