비밀번호 유출이 걱정되거나 계정이 해킹당한거 같다고 걱정하는 사람들은 이 서비스를 이용하면 구글을 훨씬 안심하고 사용할 수 있게 된다.
사용하려면 먼저 구글 어카운트 설정으로 가서 Using 2-step verification을 선택한다.
아래와 같이 2-step verification 설정이 시작된다.
먼저 어떤 스마트폰을 사용할건지 선택한다.
플랫폼을 선택하면 해당 플랫폼에 필요한 앱을 설정하는 법이 나온다. 그대로 따라해서 폰에 필요한 앱을 설치해준다.
폰에 설치한 앱을 실행한다. 여기서는 안드로이드에 설치된 경우이다.
Scan account barcode를 선택한 다음 컴퓨터 화면의 QR코드를 인식시킨다.
정상적으로 QR 코드가 인식되면 화면에 위와 같은 확인 코드가 나오게 된다.
PC에 위의 확인코드를 넣어주면 된다.
모든게 정상적으로 되었다면 아래와 같은 화면이 나오게 된다.
여기까지 오면 일단 설정은 끝난건데 문제는 암호를 잊어버리고 폰도 없어지거나 분실되는 경우 사용할 수 있는 수단이 필요하게 된다.
은행의 보안카드같이 화면에 아래와 같은 코드들이 나타나게 된다. 이 코드들은 별도로 잘 보관해 두어야 한다. 만일 암호도 기억이 나지 않고 스마트폰도 없는 경우는 이 코드를 알고 있어야만 자신을 확인시켜줄 수 있게 된다.
꼼꼼하게 확인하기 위해 저 표를 인쇄하건 어딘가에 잘 보관해 두었다는걸 체크해 주지 않으면 next버튼이 활성화 되지 않는다.
다음으로 넘어가면 마지막 수단으로 문자메시지나 음성으로 확인할 수 있도록 하기 위해 휴대폰 번호를 등록한다.
여기까지 왔으면 이제 설정이 끝난것이다. 아래와 같은 최종 확인 화면이 나오게 되고 여기서 Turn on 2-step verification 버튼을 눌러주면 이 기능이 활성화되어 바로 적용된다.
자동으로 로그아웃되고 다시 로그인하도록 암호를 물어본다.
암호를 넣으면 이전과 다르게 바로 로그인이 되는게 아니고 아래와 같은 화면이 나와 인증코드를 물어보게 된다. 자신의 폰에 설치한 앱을 실행하면 화면에 나오는 인증코드를 넣어주면 된다.
여기서 모든 설정은 끝난 셈이지만 남은 문제는 웹 브라우져로 로그인 할 때는 인증코드를 물어볼 수 있지만 전용 클라이언트(구글계정에 연동되는 메일이나 웹 서비스 클라이언트들) 은 인증코드를 물어볼 수 없기 때문에 제대로 동작을 하지 않게 된다. 그 경우를 위해 Application-specific passwords 기능을 제공한다. 아래에서 Manage application-specific passwords를 선택한다.
여러 클라이언트마다 별도로 관리할 수도 있다. 그걸 위해 각 application-specific passwords마다 이름을 붙여준다. 아래에 원하는 이름을 정해주고 Generate password버튼을 누르면 된다.
그럼 아래 노란색 박스에 암호가 만들어진다. 클라이언트에 자신의 원래 암호 대신 저 암호를 넣어주면 클라이언트들도 정상적으로 동작하게 된다. 이 암호는 랜덤하게 생성된 길고 복잡한 암호이기 때문에 brute-force 방식의 password cracker들에게는 거의 깨질일이 없는 안전한 암호이다. 이 암호는 클라이언트에 한번만 넣어주면 되고 따로 암기할 필요는 없는 암호이다.
이렇게 하면 스마튼 폰을 통해 구글의 2단계 인증 기능을 사용할 수 있고 훨씬 더 안전하게 구글을 사용할 수 있게 된다. 특히 PC방이나 공공장소에서 구글에 로그인 할 때 혹시라도 키로깅을 당하더라도 OTP 코드는 계속 바뀌기 때문에 설사 암호가 로깅되어도 계정이 뚤릴까봐 걱정할 필요가 없어진다.