谷歌增加了一个双因素身份验证选项,以谷歌Apps的周一,从而使企业能够保护用户账户通过手机发表,除了通常的密码的一次性密码。
该选项将提供针对网络钓鱼和恶意软件攻击的额外保护,如一次性码,是在有限的时间,费根鲍姆伊兰,对于谷歌Apps的安全主管说。
双因素身份验证通常依赖于用户知道的,比如密码和东西,他们有,如智能卡,安全令牌或者 - 在谷歌的情况下 - 手机。
微软提供了类似的双因素认证服务使用短信,它首先于5月宣布。
谷歌将通过SMS(短消息服务)或语音消息发送认证码。短信服务将是免费的,可以在19个国家包括澳大利亚,丹麦,法国,德国,荷兰,瑞典,英国和美国。
该认证码也可以在本地使用智能手机应用程序称为谷歌身份验证,可从Android,黑莓或iPhone应用程序商店可以免费下载产生的。苹果已经批准了谷歌应用程序的iPhone和所有三个应用程序现已上市,费根鲍姆说。
谷歌正在对源代码的验证器应用开放源码,让公司能够改变用户界面,也许是为了整合自己的品牌。然而,谷歌将发布不针对生成代码的算法的源代码,费根鲍姆说。
认证过程是基于一个开放的标准认证的设备和网络称为OATH - 不使用OAuth,另一个打开的身份验证协议主要针对Web应用程序,旨在混淆。OATH支持者包括威瑞信,Sandisk公司等多家智能卡厂商。
管理员可以使谷歌的谷歌Apps的高级,教育和政府版本的用户新的认证功能。标准版和消费者服务,如谷歌Docs和Gmail用户将有机会获得“在未来几个月,”费根鲍姆说,虽然他拒绝透露是否这将是今年年底之前。
一旦他们的管理员已启用此功能,谷歌Apps用户必须提供谷歌与短消息服务选项自己的手机号码,或安装应用程序,并通过输入秘密通行口令进入应用程序,并进入谷歌Apps的网站设置。
在此之后,每次用户登录时,他们将看到一个额外的文本框,邀请他们输入一个六位数的代码。要获得密码,用户可以在登录页面通过短信请求,或者点击手机应用程序中的一个按钮生成一个新的密码。
从同一台计算机(例如他们的家用计算机)重复登录的用户可以选择“记住这台计算机的验证”。这将在机器上设置一个cookie,指示谷歌的服务器不要请求身份验证代码。费根鲍姆说,如果电脑被盗,这就降低了安全保护,但“如果有人可以访问你的电脑,你就需要担心更大的问题。”
然而,在公共电脑,双因素认证可提供额外的保护水平,通过手机发表的验证码有效期只有很短的时间段,他说。
那些对谷歌Apps的不同的在线身份为个人通信工作和Gmail将能够谷歌身份验证器与两个身份进行编程,使他们能够产生为每个帐户不同的代码。
谷歌几乎是一年半之前就开始了身份验证工作。该公司的工作人员已经全部在内部使用它在过去的三个月中,费根鲍姆说。这种测试允许他们优化功能,如码长,他说。