運用「密碼防護警示」防範網路詐騙的常見問題

以下是「密碼防護警示」擴充功能的常見問題,這個功能可用來防範網路詐騙攻擊。如需「密碼警示」的安裝說明,請參閱保護使用者免受網路詐騙威脅運用密碼警示防範網路詐騙

什麼是「密碼防護警示」?

「密碼防護警示」是 Chrome 的擴充功能,當 G Suite 和 Cloud Identity 使用者在 Google 登入頁面以外的網站輸入 Google 密碼時,這項擴充功能都能偵測出來,藉此協助使用者避開網路詐騙攻擊。

管理員還可以部署「密碼防護警示伺服器」,藉以啟用密碼防護警示稽核功能、傳送電子郵件警示,並在使用者於不受信任的網站上輸入自己的 Google 密碼時,強制要求使用者變更密碼。

什麼是「Chrome 密碼防護警示政策」?這項政策有什麼獨特之處?

您可以透過「Chrome 密碼防護警示政策」,取得「密碼防護警示」Chrome 擴充功能所具備的眾多功能。Chrome 本身就導入這項政策,可以讓管理員在所有支援 Chrome 的平台上部署相同政策並使用回報功能。

貴機構不需要申請 G Suite 或 Cloud Identity 就能使用「Chrome 密碼防護警示政策」。目前,Chrome 密碼防護警示政策並未設有可提供警示稽核功能與控制項的「密碼防護警示伺服器」。

如果您同時設定 Chrome 擴充功能與 Chrome 密碼防護警示政策,您與使用者就會收到兩組警示通知。您可以選擇關閉擴充功能以免重複收到警示。

我可以將自己的受管理 Google 帳戶密碼再用於其他帳戶嗎?

不可以。只要您在 Google 以外的網站輸入自己的受管理 Google 帳戶 (例如 G Suite 或 Cloud Identity) 密碼,就會觸發「密碼防護警示」,每當您嘗試將該密碼用於其他帳戶,都會收到警示通知。您可以選擇重設密碼,或者針對特定帳戶忽略警示通知。

Gmail 使用者可以選擇略過網站上所有的警示通知。如果您將同一組密碼搭配多個帳戶使用,當其中某個帳戶遭到入侵時,攻擊者通常也會嘗試在您其他的帳戶上使用這組密碼,意圖利用相同的憑證登入這些帳戶。

如果我使用的瀏覽器不是 Chrome,會怎麼樣?

「密碼防護警示」是針對 G Suite 和 Cloud Identity 使用者所設計的功能,目前只是 Chrome 瀏覽器中的 Chrome 擴充功能。管理員可以利用 Chrome 政策為網域部署「密碼防護警示」,也可以設定 Google App Engine 執行個體,監控網域中的警示通知。如果您還在使用舊版瀏覽器,可以進一步瞭解 Chrome 的舊版瀏覽器支援

「密碼防護警示」支援多重登入嗎?

「密碼防護警示」透過有效的 Chrome 設定檔來確認應保護的指定帳戶,因此如果您希望為多個 Google 帳戶安裝「密碼防護警示」,請使用多個 Chrome 設定檔

「密碼防護警示」何時生效?

安裝擴充功能後,「密碼防護警示」會在您下次登入 accounts.google.com 時開始生效,但必須啟用 JavaScript®,且受管理的 Google 帳戶使用者必須登入 Chrome。

「密碼防護警示」如何得知您的密碼?

每當您成功登入自己的 Google 帳戶,「密碼防護警示」都會暫時存取您的正確密碼,並且將您的密碼轉換成經過加工變換的縮圖,儲存在 Chrome 的本機儲存空間中。「密碼防護警示」隨後會根據這個縮圖,比對您在 accounts.google.com 之外的所有網站輸入的每一組密碼 (如果您使用的是 Google Cloud 網域,則是針對管理員未列入許可清單的網站進行比對)。

我還可以使用哪些工具保護我的密碼?

Gmail 使用者可利用 FIDO 通用第二要素 (U2F) 安全金鑰這個相當實用的工具,來防範密碼詐騙行為。

「密碼防護警示」和 Chrome 內建的「安全瀏覽」功能有何差異?

雖然 Chrome 會嘗試預先偵測出詐騙網頁,但難免會漏掉一些偽造的登入頁面。相較之下「密碼防護警示」更為嚴密,每當您在 accounts.google.com (如果您使用的是 Google Cloud 網域,則是管理員加入許可清單的網站) 之外的網站輸入自己的密碼時,「密碼防護警示」都可以偵測出來。

「密碼防護警示」是否支援不到 8 個字元的 Google 密碼?

不支援。「密碼防護警示」會要求您提供至少 8 個字元的密碼。如有任何舊版 Google 密碼少於 8 個字元,系統都會要求您更改密碼。

「密碼防護警示」會記錄按鍵動作嗎?

不會。「密碼防護警示」不會將按鍵輸入動作存入磁碟,也不會將任何按鍵輸入動作傳送到遠端系統中。

Google Cloud 客戶一定要使用「密碼防護警示」應用程式嗎?

不一定。只有在執行下列功能時才需要「密碼防護警示」應用程式:警示稽核、傳送電子郵件警示,以及在使用者於不受信任的網站輸入 Google 帳戶密碼時強制使用者變更密碼。

我將「密碼防護警示」設定為將報告傳送到我的「密碼防護警示」應用程式。為什麼我的使用者不再收到橫幅通知?

您將「密碼防護警示」設定為將報告傳送到應用程式後,任何通知都只會透過電子郵件傳送給安全群組與/或使用者。詳情請參閱「密碼防護警示」應用程式設定檔中的 Enforcement (強制執行) 部分。

「密碼防護警示」應用程式與 App Engine 執行個體有何不同?

「密碼防護警示」應用程式是由 Google 管理,而 App Engine 執行個體則是由您的團隊自行管理。

在管理控制台使用者介面的「主機狀態」中,「忽略」和「允許」有何不同?

允許:不發出安全性警示,使用者密碼也不會失效。這個狀態可讓您將主機加入許可清單,以便允許重複使用密碼。

忽略:不發出安全性警示,但使用者密碼會失效。在合法網站 (例如 login.yahoo.com) 上偵測到重複使用密碼的行為時,一般來說會忽略主機名稱。

不明:發出安全性警示且使用者密碼會失效。除了 accounts.google.com 和 managed_policy_values.txt (SSO_URL) 中所定義的 SSO 網址以外,所有主機的預設狀態皆為這個狀態。

這對您有幫助嗎?
我們應如何改進呢?