隨著良好口令實踐和自動更新的推行，谷歌正積極著手多項工作以使大眾享受更安全的互聯網。

谷歌的企業使命宣言一直以來都包含在“不作惡”這句話中，這指的是谷歌作為一個公司而言，但這句話也可以很容易地延伸到更廣闊的互聯網上。谷歌目前正在多個領域推陳出新，意圖確保其用戶和互聯網環境“無惡”——無論是黑客活動或是惡意軟件攻擊。

上周的谷歌I/O大會上，谷歌發布了一系列產品和服務。安全這個主題貫穿大會始終，不僅集成在產品發布里，也融合在大會獨立研討中。

即將到來的安卓N手機操作系統將引進一系列重要的新安全特性。其中一項，就是意圖清除現有安卓媒體服務器技術風險的新媒體服務器庫方法。

2015年7月，安卓Stagefright媒體服務器庫缺陷首次曝光，自此以后，新的媒體服務器缺陷不斷被研究人員發現，谷歌一直在對安卓進行增量更新。僅2016年5月的安卓更新，谷歌就為7個媒體服務器漏洞打了補丁。

Stagefright媒體服務器缺陷的一個結果是，2015年8月，谷歌進入了安卓月度更新周期。由于類似Chromebooks更新方式的自動補丁技術的引入，這個周期在安卓N身上還將進一步加快。

史蒂芬·索莫吉，谷歌安全和隱私產品經理，在I/O大會上發表了被他稱為“第三屆谷歌安全更新”的講話，提供了有關安全的全面更新，關鍵詞是“更新”。

谷歌安全和隱私工程團隊的章程，就是要保護用戶和他們的數據。

他強調，自動更新是最佳安全實踐，他們自2008年起便已經將自動更新集成到了Chrome瀏覽器中。安卓N承諾提供同樣的自動更新無縫體驗。

廣泛應用加密

在谷歌，加密被廣泛應用，更新及其他所有事務都有應用，也是索莫吉演講的關鍵主題。2月，谷歌開始通過一個紅色的小掛鎖圖標向Gmail用戶顯示郵件是否通過不安全連接收到。這一圖標一開始出現的時候，大約58%的入站Gmail郵件是采用傳輸層安全(TLS)加密的。45天后，郵件中加密的采用有了明顯提升。5月13日，谷歌發現，78%的Gmail入站郵件采用了TLS。

雖然谷歌自己有大量資源可以發現安全漏洞，該公司一直以來都頗贊同漏洞獎勵的做法。進2015年一年，谷歌就向超過300位安全研究員支付了200萬美元的漏洞獎勵。

2016年，谷歌計劃在漏洞獎勵上投入更多的資金。3月，谷歌將 Chrome OS 漏洞最高獎勵金額從5萬美元提高到了10萬美元。

“研究越多，回報越高。”

谷歌同時還在擴展和提升安全瀏覽技術的效力。安全瀏覽會向桌面和手機瀏覽器用戶報警潛在的惡意網站。索莫吉指出，今年，谷歌會繼續延伸安全瀏覽防護，惡意軟件和安卓Chrome上的社會工程嘗試都會被報警。

“安全瀏覽如今能很好地防護超過20億臺設備。”

至于最佳實踐，索莫吉建議，用戶不要在各項服務間重復使用口令。這也是谷歌的Abacus計劃意圖有所改善的方面之一。Abacus是一種無口令訪問方法，2015年谷歌I/O大會上才首次提出的。谷歌計劃在今年年底試行基于Abacus的安卓登錄。

不過，在Abacus可用之前，谷歌還有其他的辦法，包括雙因子身份驗證的使用，采用線上快速身份驗證聯盟(FIDO)的通用第二因子(U2F)協議來強化身份驗證。

盡管采用了更強的口令(或口令替代技術)，安全瀏覽和漏洞獎勵依然是很好的做法，而安裝更新則是保證用戶安全的最佳方式之一。

安全是一項有著很多未知數的復雜挑戰，但同時也存在著很多已知不良之處。零日威脅自然是顧慮之一，但好的口令實踐和保證用戶更新，或許是幫助谷歌達成其“不作惡”使命的兩個最佳工具，甚至防止惡事降臨用戶身上這一更廣泛的使命也可以之達成。