谷歌安卓 17 拟增扫码验证系统,将如何提升设备安全性?
谷歌在防什么?
说白了就是:有人给你手机刷了个假的安卓系统。桌面图标、设置界面看着和官方一模一样,但后台可能在偷你的密码、截你的验证码、记录你输入过的所有东西。
谷歌的解决方案很直接:
拿一台你信得过的手机 → 扫一下待验证手机上的二维码 → 谷歌告诉你系统是不是被篡改过。
不需要 Root 权限,不需要装安全软件,就是扫码看结果。
这个逻辑其实很熟
两台设备交叉验证,扫码确认身份——和TOTP 两步验证的逻辑确实非常相像
你用 Google 登录某个网站:
- 电脑屏幕上出现一个二维码
- 手机上的验证器对着扫一下
- 6 位数字填回去,确认“是你在操作”
和这次系统验证的区别只在于:扫完之后,一个是”系统可信”的结论,一个是”验证通过”的结果。底层都是用一个你已信任的设备,去验证另一个不确定的东西。
普通人用得着关心吗?
现在可能不用,早晚得用。
几年前两步验证还是极客专属,现在 GitHub 强制开、Google 账号推荐开、连 Steam 都要绑手机令牌。系统级验证也一样——现在还在安卓 17 的开发阶段,但方向很明确:以后手机安不安全,不能靠”感觉”,得有办法自查。
而且说实话,大部分人的手机里同时装着支付、邮箱、社媒、网银——这要是系统被篡改,比密码泄露严重多了。密码泄露还能改,系统被篡改我连我输的”新密码”都被人看见了。
我自己的习惯是:能用扫码验证的地方就不用短信。短信码在运营商侧可能被截,TOTP 在你手机本地算的、每 30 秒换一次,公共 WiFi 上也抓不到。
验证器方面,我主要用「二次验证码Free2FA」小程序,不占 App 位、扫码即备份、换手机登微信自己回来。和我理解的”安全应该是透明的”这个原则比较对路。当然用 Google Authenticator 或者 Authy 也行,看自己的习惯。
最后说一句:谷歌这次把”系统验证”放进安卓原生,说明一个趋势——以后验证这件事会越来越下沉,越来越接近用户。“信不信任这台设备”会变成和“知不知道密码”一样基础的命题。趁早习惯挺好的。
对设备安全和 2FA 有想法欢迎评论区一起聊。