如何找出 Google 帳號異常登入的 IP 記錄

這個「Blogger論壇討論串」表示，Google 帳號有不明的登入記錄，詢問如何查詢 IP 記錄。原來之前寫的「檢查 Google 帳號是否被盜用﹍查詢最近登入的 IP 紀錄」，當初 Google 提供了最近 1 個月登入的 IP 記錄，但現在測試才發現，Google 已經不提供 IP 資訊了。

由於 Google 的功能、介面常常改版，現在該如何查出異常登入的 IP，請參考本文的技巧。

一、Google 改版效果

請參照原本「Google 帳號查詢最近登入的 IP 紀錄」的步驟，目前改版後查詢的畫面如下圖：

• 如紅色底線日期所示，目前 Google 仍然提供 1 個月內，所有裝置的登入記錄。
• 但是點擊右側的「三角圖示」展開資訊後，只能看到最多兩筆登入記錄。
• 而且不顯示 IP 資訊，只看得到大略的地理位置。

對於大部分的使用者而言，也許這樣的資訊就足以瞭解，是否有人入侵、盜用我們的帳號。而不顯示詳細的 IP 資料，也算是讓畫面比較簡潔的設計方式。

二、從 Gmail 查詢 IP

這篇詢問的網友由於個人因素，有必要查出 IP 記錄，用來驗證到底是誰登入了他的帳號。那麼這樣的話，有個變通的方法，來查詢最近登入 IP 記錄。

根據 Google 官網的這篇「最近帳戶活動」，Gmail 會記錄透過瀏覽器、行動裝置、第三方程式等工具存取郵件時，最近的 10 筆 IP 登入資料，操作方式如下圖：



進入「Gmail 網頁版」→ 畫面捲到最下方 → 點擊右下角的「詳細資料」按鈕




如上圖，立即顯示最近 10 筆存取 Gmail 的 IP。

不過裡面夾雜了許多第三方程式的存取記錄，因此真的有被入侵帳號的話，也可能很快就被洗到 10 筆之後，而抓不到兇手了。

而更麻煩的是，盜用帳號者若沒有存取 Gmail 的話，那麼可能也是無法查到 IP 資訊。

三、找出可疑裝置登入 IP

1. 法院命令

看起來要找出可疑裝置的登入 IP 記錄，如果 Gmail 也不可行的話，似乎幾近無解了，因為官網的文件「最近帳戶活動」→「如何解讀這些資料」，這裡面提到：

一般而言，除了 [最近帳戶活動] 部分顯示的資訊之外，我們無法提供使用者更進一步的資訊，因為 Google 的政策規定，只有在我們收到有效的第三方法院命令，或是必須配合其他相關的法律程序時，才能提供其他詳細資訊。

Google 只有在進入司法程序、審理案件時，才會配合提供 IP 資料。除此之外，我們是要不到資料的。


2. 查詢安全性事件

WFU 最後找到的這個方法，雖然資料不多，但相較之下，很有可能是更精準的資訊，能夠抓出是那個 IP 入侵了我們的帳號。

首先進入 Google 官網這個「裝置活動與通知」網址：

• https://myaccount.google.com/security#activity

如果最近 1 個月有新的裝置登入我們的 Google 帳號，那麼這裡應該如上圖，會出現 "近期安全性事件" 的區塊，請點擊「查看事件」按鈕。




如上圖，點擊紅框「您已從新的 Windows 登入」後，會展開詳細內容。

對於這個可疑的裝置，Google 會提供登入時的資訊，例如時間、地點、瀏覽器，更重要的是這裡我們終於看到了 IP 資訊，如此更有可能猜出入侵者的身份。

四、被不明裝置登入怎麼辦？

2016.8.7 補充：留言 #3 表示有陌生裝置登入帳號，詢問取消登入的權限。

根據官網說明「新增或移除可信任的電腦」，我們可以這麼做：

• 確定已經啟用兩階段驗證
• 登入「我的帳戶」網頁 → 登入和安全性 → 登入 Google → 兩步驟驗證
• 在「已註冊的電腦」分頁中，依序選取 [要求輸入驗證碼] > [從我的可信任電腦清單中移除這部電腦]

更多的注意事項，請參考該網頁的詳細說明。


2016.8.8 補充：留言 #3 表示登入的不明裝置來自「美國明尼蘇達州伊甸草原」，沒想到今天我也遇到了一樣的情形：




點進上圖連結「最近使用過的裝置」後，下圖可看到 IP 資訊：




事實上從這個時間點，我很明確的知道，這是我自己的登入資訊，而且是從 Nexus 7 的 Puffin 瀏覽器登入帳號。但為何會出現這樣的訊息呢？是一件耐人尋味的事，根據經驗，從 Nexus 7 登入，是不會顯示 Linux 系統的。

上網查了資料，果然國外有多個類似案例：

• Account hacked? Is changing my password enough?
• I live in India but my Gmail said someone from USA logged in using my account on linux ?? Hacked ?

被不明裝置登入的地點，都是來自「美國明尼蘇達州伊甸草原」(Eden Prairie, MN, USA)，且是 Linux 系統。

在這個 Gmail 論壇的討論串「Unknown Linux Syncing to my Google account?」，有常駐專家(top contributor)表示，論壇有一些類似狀況的案例回報，很可能是某些 app 提供給系統的資訊，被 Google 分類錯誤，導致出現這樣的訊息。

這個回答與我的狀況是吻合的，Puffin 並非主流瀏覽器，從 Nexus 7 發出的訊息的確可能被 Google 誤判。

那麼以後如果發現有人從「美國明尼蘇達州伊甸草原」登入了我們的帳號，應該不用擔心了，就是我們自己登入的！

五、防止帳號被入侵的方法、觀念

最後做個小小提醒，雖然這些內容前一篇已經提過，不過因為太重要了，所以再照抄一次：

1. 使用兩階段驗證

為了防止帳號被盜，啟用 Google 帳號兩步驟驗證，可保證帳號不被入侵。可參考「官網說明」，或是這篇「開啟 Google 兩步驟驗證，避免帳號密碼被盜用！」


2. 密碼設定模式及電腦使用習慣

除了兩階段驗證，要保護密碼安全，還得具備良好的密碼設定習慣、及電腦正確的使用觀念。根據官方提供的說明「維護帳戶的安全性」，比較重要的觀念有：

• 檢查病毒和惡意軟體：電腦需要注意防毒，避免密碼被惡意軟體側錄，導致帳號被盜。
• 更新作業系統與瀏覽器：避免舊版的瀏覽器、作業系統有漏漏，導致被入侵。
• 不要在其他網站上使用與「Google 帳戶」相同的密碼：一個密碼被破解，導致所有密碼都被破解。
• 小心釣魚網站：注意網址細節，避免被魚目混珠的釣魚網站假冒官網，騙走我們的密碼。
• 公用電腦：不要在不信任的電腦輸入帳號密碼，以免被側錄。

預防勝於治療，防範帳號安全，得先從良好的電腦使用習慣做起。

更多 Google 相關主題：