谷歌今天宣布为 Google Workspace (以及普通个人谷歌账户,下同 ) 简化启用两步验证步骤,让 IT 管理员可以在企业内部更容易实施两步验证并提高各类账户的安全性。以前用户要想启用两步验证必须先绑定手机号 (用于短信验证的号码),然后才能添加额外的两步验证器例如谷歌身份验证器或 FIDO 硬件安全密钥。
这么做的原因是谷歌担心用户丢失验证器后无法登录账户,这种情况下用户至少还可以通过手机验证码执行登录,不过随着时间的推移,谷歌也已经意识到传统短信验证码不再是可靠的验证方式。
因此现在 Workspace 用户现在无需绑定手机号即可直接添加验证器,其中基于软件的验证器主要是谷歌身份验证器以及其他兼容 TOTP 基于时间标准的一次性密码的身份验证器。
如果用户要添加硬件安全密钥也可以,硬件安全密钥只要兼容 FIDO1 或 FIDO2 协议即可,同时也支持软密钥,例如某些密码管理器提供的替代硬件密钥的验证方式,本质上这种方式就是 Passkey 通行密钥。
对于当前已经绑定手机验证的账号,即便添加额外的两步验证器也不会删除手机号,不过用户可以自己在账户中心里删除手机号,只使用更安全的身份验证器或硬件安全密钥。
此功能从 2024 年 5 月 6 日开始全部推出,IT 管理员可以在管理中心对各种策略进行配置以提高整体安全性。
Workspace 用户添加两步验证 (2SV) 方法的简化体验
週一, 6 五月 2024
更改内容
我们正在简化用户启用两步验证 (2SV) 的方式,这将简化流程,并使管理员能够更轻松地在其组织中强制执行 2SV 策略。
以下是此更改的一些重要更改:
-
用户可以在开启 2SV 之前添加“第二步方法”(例如 Google Authenticator 或硬件安全密钥)。这对于使用 Google 身份验证器(或其他等效的基于时间的一次性密码 (TOTP) 应用)的组织特别有用。以前,用户必须先使用电话号码启用 2SV,然后才能添加 Authenticator。
-
拥有硬件安全密钥的用户可以通过两个选项将其添加到“通行密钥和安全密钥”页面上的帐户中:
- **“使用安全密钥”:**这会在安全密钥上注册 FIDO1 凭据,即使密钥本身支持 FIDO2。
- **“创建密钥并按照说明”使用其他设备“:**这会在安全密钥上注册 FIDO2 凭据,并要求用户使用密钥的 PIN 进行本地验证(这会在安全密钥上创建密钥)。
- **注意:**如果“允许用户使用通行密钥在登录时跳过密码”的管理员策略仍处于关闭状态(这是默认配置),系统将继续要求用户提供密码和密钥。
-
如果已注册的 2SV 用户从其帐号设置中关闭了 2SV,则其已注册的第二步(例如备用代码、Google 身份验证器或第二因素手机)不会自动从其帐号中移除。在此更改之前,当用户关闭 2SV 时,所有第二个因素都会被移除。 **注意:**当管理员通过管理控制台或通过 Admin SDK 为用户停用 2SV 时,第二个因素将像以前一样被移除,以确保用户离职工作流程不受影响
开始
- 管理员: 请访问帮助中心,详细了解如何通过两步验证保护您的业务。
- **最终用户:**请访问帮助中心,详细了解如何启用两步验证。
推出速度
- 快速发布和计划发布域:从 2024 年 5 月 6 日开始全面推出(功能可见性为 1-3 天)
可用性
- 适用于所有 Google Workspace 客户和拥有个人 Google 帐号的用户