Hacker News 中文摘要

RSS订阅

Gmail的备用代码无法用于访问账户 -- Gmail's backup codes are useless to access account

原文链接 | HN讨论 | 2025-07-19 15:34:38

文章摘要

Gmail的备用代码在访问账户时无效,用户无法通过这些代码恢复账户访问权限,引发了对其安全性和实用性的质疑。

文章总结

文章《Gmail的备份代码无法用于访问账户》主要讨论了Gmail的备份代码在实际使用中的问题,特别是当用户尝试通过备份代码恢复账户访问时,系统仍然要求额外的验证步骤,导致备份代码失效。

文章的主要内容包括:

  1. 用户经历:作者分享了自己使用Gmail工作账户的经历。为了避免被锁定,他设置了双重认证(2FA)并生成了备份代码。然而,当他在iOS邮件应用中添加该账户时,系统检测到“异常活动”,要求他通过短信验证码登录。尽管他尝试使用Google Authenticator和备份代码,系统仍然拒绝访问,并提示“我们不确定是否是你”。

  2. 备份代码的无效性:作者质疑备份代码的作用,认为既然系统在用户提供了正确的备份代码后仍然拒绝访问,那么设置备份代码的意义何在。

  3. 其他用户的类似经历:文章中还提到了其他用户的类似经历。例如,有用户在国外登录Gmail账户时,尽管提供了恢复邮箱和短信验证码,系统仍然拒绝访问,并要求用户从之前登录过的地点登录。还有用户表示,即使完成了五重验证(包括密码、手机号、短信验证码、备份邮箱和邮箱验证码),仍然无法恢复账户。

  4. Google的验证系统问题:许多用户抱怨Google的验证系统过于严格,甚至在某些情况下毫无道理地拒绝用户访问。用户建议Google改进其验证系统,尤其是在用户已经提供了多重验证的情况下。

  5. 硬件安全密钥的建议:一些用户建议使用硬件安全密钥(如FIDO2密钥)来提高账户安全性,并认为Google会更信任这种验证方式。

  6. Gmail替代方案:部分用户讨论了Gmail的替代方案,如Fastmail和Protonmail,认为这些服务在隐私和安全性方面表现更好。

总结:文章揭示了Gmail备份代码在实际使用中的局限性,并反映了用户对Google验证系统的不满。许多用户认为,尽管设置了多重验证,Google的系统仍然过于严格,甚至在某些情况下毫无道理地拒绝用户访问。文章还探讨了其他替代方案,并建议使用硬件安全密钥来提高账户安全性。

评论总结

评论总结

1. Gmail账户自动暂停问题

  • 观点:Google系统可能自动暂停账户,导致用户无法访问。
  • 论据
    • "Automatically suspended by Google systems for being at risk"(“因风险被Google系统自动暂停”)
    • "Good luck."(“祝你好运。”)

2. Gmail改进建议:启用邮件转发

  • 观点:Gmail应启用邮件转发功能,以避开其不友好的界面和登录系统。
  • 论据
    • "Then you don't have to deal with their ugly interface, login system, new features, weird compose window, etc...."(“这样你就不用处理他们难看的界面、登录系统、新功能、奇怪的撰写窗口等。”)

3. TOTP认证与Google Authenticator的担忧

  • 观点:用户担心Google可能强制使用Google Authenticator,导致多设备管理问题。
  • 论据
    • "I wonder if Google will disable standard TOTP in favor of requiring Google Authenticator"(“我想知道Google是否会禁用标准TOTP,转而要求使用Google Authenticator”)

4. 工作区管理员的安全提示

  • 观点:工作区管理员可以暂时禁用额外的安全提示。
  • 论据
    • "There's a button in the admin page for your workspace admin to disable extra security prompts for 10 minutes."(“在管理员页面有一个按钮,可以让你的工作区管理员禁用额外的安全提示10分钟。”)

5. Gmail替代品的需求

  • 观点:用户寻找基于欧盟的Gmail替代品,尤其是垃圾邮件处理良好的产品。
  • 论据
    • "For instance, spam handling is worse in pretty much any alternative I've tried."(“例如,我尝试过的几乎所有替代品的垃圾邮件处理都更差。”)

6. 可疑登录检测的必要性

  • 观点:可疑登录检测是为了账户安全,用户应等待或解决问题。
  • 论据
    • "Wait an hour or two, or resolve the reason for the suspicious activity if you may have caused it (VPN, for example)."(“等待一两个小时,或者解决可能导致可疑活动的原因(例如VPN)。”)

7. 账户恢复的困难

  • 观点:账户恢复过程复杂,用户可能无法通过验证。
  • 论据
    • "It told me that wasn't enough information to recover the account, and that was it, because I didn't have a backup phone, email etc. attached."(“它告诉我这些信息不足以恢复账户,因为我没有绑定备用手机或邮箱。”)

8. 异地登录的认证问题

  • 观点:异地登录时,即使通过恢复邮箱和手机验证,仍可能无法登录。
  • 论据
    • "It says I need to sign in from a location that I've signed in from before."(“它说我需要从之前登录过的位置登录。”)

9. 登录/认证流程的复杂性

  • 观点:Google的登录/认证流程复杂,甚至Google自身可能没有完整的流程图。
  • 论据
    • "I’d love to see a fully mapped login/auth flowchart with every permutation."(“我想看到一个包含所有排列组合的完整登录/认证流程图。”)

10. GCP相关故障

  • 观点:GCP服务出现故障,用户受到影响。
  • 论据
    • "Related/unrelated outage today"(“今天相关/不相关的故障”)

11. 防止SIM卡交换攻击

  • 观点:用户应移除恢复手机号码以防止SIM卡交换攻击。
  • 论据
    • "That's how I've had my account set up for many years, to prevent SIM swapping attacks."(“这就是我多年来设置账户的方式,以防止SIM卡交换攻击。”)

12. 账户被锁定的问题

  • 观点:Google可能无故锁定账户,用户无法访问邮件。
  • 论据
    • "Google will occasionally brick my account telling me I 'didn't provide enough info for Google to be sure this account is really yours'."(“Google偶尔会锁定我的账户,告诉我‘没有提供足够的信息让Google确认这个账户真的是你的’。”)

13. TOTP认证的需求

  • 观点:用户希望使用标准的TOTP认证,而非强制使用Google Authenticator。
  • 论据
    • "Please Google let me have a normal TOTP authentication."(“请Google让我使用标准的TOTP认证。”)

14. iOS/macOS邮件应用的问题

  • 观点:iOS/macOS邮件应用在Exchange和Gmail上表现不佳。
  • 论据
    • "From all my years working in IT I've never had a good experience with the iOS/macOS mail app for either Exchange or Gmail."(“在我多年的IT工作中,我从未对iOS/macOS邮件应用在Exchange或Gmail上的体验感到满意。”)

15. LinkedIn账户锁定问题

  • 观点:LinkedIn启用2FA后,用户被锁定,需提供驾照照片以恢复账户。
  • 论据
    • "Then, they asked me to send a picture of my driver's license to a third-party company."(“然后,他们要求我将驾照照片发送给第三方公司。”)

16. 可疑活动通知的延迟

  • 观点:用户在一小时后收到可疑活动通知,怀疑是否为钓鱼邮件。
  • 论据
    • "It's interesting you got that message (via email?) one hour after you successfully signed in on your iphone."(“有趣的是,你在iPhone上成功登录一小时后收到了这条消息(通过电子邮件?)。”)

17. 工作账户的管理

  • 观点:工作账户问题更多是用户与IT团队之间的问题,而非与Google之间。
  • 论据
    • "I think this is more between you and your IT team than it is between you and Google."(“我认为这更多是你与IT团队之间的问题,而非你与Google之间。”)

18. 账户恢复的法律建议

  • 观点:用户建议通过法律手段强制要求电子邮件/SIM卡服务提供商提供账户恢复选项。
  • 论据
    • "Why the hell is not made mandatory by law to be able to go to an email/sim phone service provider's office with your ID/passport/drivers license and be able to recover your account/number??"(“为什么法律不强制要求电子邮件/SIM卡服务提供商允许用户携带身份证/护照/驾照到办公室恢复账户/号码?”)

19. 备份代码失效问题

  • 观点:备份代码失效导致用户永久失去账户访问权限,Google对此漠不关心。
  • 论据
    • "The whole point of the backup codes is to facilitate account recovery, and it's really hilarious to me that a company full of allegedly elite engineers can't do one simple thing."(“备份代码的整个目的是为了促进账户恢复,而让我觉得好笑的是,一家满是所谓精英工程师的公司却无法完成这么简单的事情。”)

20. 账户恢复的法律需求

  • 观点:用户呼吁通过法律手段强制要求电子邮件/SIM卡服务提供商提供账户恢复选项。
  • 论据
    • "Why the hell is not made mandatory by law to be able to go to an email/sim phone service provider's office with your ID/passport/drivers license and be able to recover your account/number??"(“为什么法律不强制要求电子邮件/SIM卡服务提供商允许用户携带身份证/护照/驾照到办公室恢复账户/号码?”)