本文最后更新于 2025-02-11,墨迹未干时,知识正鲜活。随着时间推移,文章部分内容可能需要重新着墨,请您谅解。Contact

引言

最近比较闲,打算整理一下现在持有的谷歌邮箱,统一下目前持有的80个谷歌邮箱的验证方式,包括Google Prompt、PWD、2FA、辅助电话和辅助邮箱,毕竟当时注册的时候还比较稚嫩,对于谷歌系统各个验证方式的权重没有清晰的概念,设置的比较乱,还因此在同一个GMS框架下托管的账号太多而封过几个号,后来学聪明了,知道把账号分发管理。嗯,三部手机,一部平板,再加上第三方的谷歌托管,此外,偶尔外院有同学注册谷歌账号的时候总是风控,我也免费借一些谷歌号给他们用,这样分发后总算是没封过号了,毕竟谷歌邮箱的权重在国际上相当高,基本等于国外的电子版不记名通行证,上限和下限都非常高,因此谷歌的风控也和微软一样比较严格。

Google Prompt

先从Google Prompt开始吧,谷歌的Prompt其实没什么好说的,其本质就是登录设备验证,它只出现在没有绑定辅助验证号码的“谷歌白号”上,很多中国人都不一定见过——大多数中国人注册谷歌账号都是比较难的(运营商封境外短信,还有中国糟糕的号码管理机制)。哦,对了,Google prompt其实在中国也并不好用,因为国产安卓系统全部魔改过,即使谷歌框架没有被阉割,也很难接收到Prompt,目前我使用过的安卓国产设备中(小米、联想平板、Oppo),只有联想的小新Pad pro能较快速弹出Prompt, 弹出速度只比我另外一个海外版的Pixel原生系统慢了几秒钟,这一点必须给联想好评,基本没阉割谷歌框架,除了耗电快没什么缺陷,下个平板还买联想的。对于谷歌Prompt能做的管理就是删除掉长时间未验证的设备即可。

PWD

接下来是PWD密码的管理,参考了一些密码学书籍,简单构建出一套方便高效且可逆的密码管理方式:首先确定一串固定的对你有深刻记忆的字符串(不建议使用手机号、生日这种太过明显的),我这里选择的是我小学时玩的赛尔号的ID,账号早就不存在了,而且当时注册的时候也没实名,也从来没有和别人一起玩过,所以基本不可能有人知道。接下来以[email protected]为例简要阐述如何点对点地设置PWD,账号idkbungle一共有9位,从中选出首位、尾位以及中位的字母,即为i、e、u,如果账号位数为偶数的话中位取字母表中靠前的那个字母。接下来将i/e/u这三个字母插入到我的赛尔号ID(这里以12345678和1234567为例分别模拟奇偶数位的字符串),有多重插入方式,比如等差、首中尾、定首/定尾插入,得到类似12i34e56u78, 1i23e45u67(等差)或者i1234e5678u,i1234e567u, i123e4567u(首中尾)或12i3e4u5678,12i3e4u567(定首1)等类似字符串,字母插入顺序可以自定义,甚至还可以根据账号奇偶数位的不同采用两套插入加密方式,这里不再详述。如果上述加密方式都执行过,仍然对密码安全不放心的话还可以考虑奇偶对位、特定字符串替换、账号标识符、位移等加密方式,对于谷歌账号这种对系统比较依赖的账号的管理,尽量不要依赖于密码存储系统(比如keepass, Bitwarden, 1PWD),而应更加关注于密码的低规律性加密,毕竟存储系统可能被入侵或者泄露,但是你的加密机制和你的大脑是不会骗你的。

辅助邮箱

接下来是很重要辅助邮箱设置。上面提到了谷歌白号,白号特指没有绑定验证号码的谷歌账号, 好处是不实名(特指手机号实名的国家)、且次高权重验证为辅助邮箱验证或设备验证(Prompt),坏处就是如果密码忘了,设备还没有Prompt验证环境,再没有辅助邮箱,那这个号就废了;而且白号如果被封禁就是一锅端。所以管理大量谷歌账号的最好方法就是用验证号去保护白号。我所持有的谷歌账号中只有6个是验证号,两个是中国手机号,一个是美丽国,两个是大不列颠的GG卡,还有一个是新西兰的Skinny卡,所以用这六个验证号来组成金字塔的头部,一级一级地将验证信息传递向下(当然6个验证号的上面还可以设置一个最高级的自建域名邮箱),这里就不详细阐释了,想象一下金字塔你就知道怎么搭建辅助邮箱验证体系了。

辅助手机号

辅助手机号也没有太多阐述的,记住尽量不要用实名国家的手机号绑定,也不要用虚拟卡。此外,有一点需要特意说明,没有绑定辅助手机号的谷歌白号身份验证方式是很多样的,大致路线为:账号——PWD———辅助邮箱或Google Prompt———2FA, 而绑定完手机号后,辅助手机号会变成次高级权重的验证方式,把原先第三步的两种验证顶掉,验证过程变得很麻烦,所以不是主账号不建议绑定辅助手机号。

2FA

最后对谷歌账号这种国外的账号而言,2FA无疑是必不可少的,它是验证身份的环节中最后一道防线,也是权重最高的一环。(为什么中国等实名国家没有呢?因为中国的实体手机号都是和身份绑定,手机号和身份证就是二验要素,所以一般中国的平台只会发短信验证码验证身份。此外,其实在安全性要求高的地方也是有类似的验证方式,比如腾讯云的MFA。)
言归正传,2FA的原理如下(参考阮一峰):

“第一步,用户开启双因素认证后,服务器生成一个密钥。
第二步:服务器提示用户扫描二维码(或者使用其他方式),把密钥保存到用户的手机。也就是说,服务器和用户的手机,现在都有了同一把密钥。
第三步,用户登录时,手机客户端使用这个密钥和当前时间戳,生成一个哈希,有效期默认为30秒。用户在有效期内,把这个哈希提交给服务器。
第四步,服务器也使用密钥和当前时间戳,生成一个哈希,跟用户提交的哈希比对。只要两者不一致,就拒绝登录。”

看完解释,其实原理很简单,就是把秘钥用TOTP时间算法哈希后得到当前时间的秘钥哈希,对比后验证登录,这也是为什么2FA能离线使用(这一点当时真的让我感到疑惑震惊)。对于谷歌账号而言,不考虑它那难用的一批的安全码,2FA无疑是很方便好用的,还支持云端备份同步。

End

最后的最后,如果你也和我一样持有大量的谷歌白号,请不要在一个谷歌框架下登录太多的账号,容易连坐封号,一个框架下登录15-20个比较稳,也可以像我一样通过第三方代理来托管降低一下平均数(比如出境易和Gspace)或者分发给你身边的人,惠及其他同胞。

至此,80个谷歌账号通过6个验证号和复杂的加密、验证方式完全统一。
此文完结,感谢您能阅读到这里,我其实很少写长文,中学时写长文就容易落得水作文的结局,现在也不例外,不过好在此文不算太水,还是有点干货的。