Google 新账号验证被曝改用“手机发短信”：匿名注册的缝隙更窄了

Privacy Guides 论坛里，最近有人提到一个新现象：部分新建 Google/Gmail 账号时，手机号验证不再是“等 Google 发验证码”。网页会显示一个二维码，用户用手机扫码后，由手机主动向 Google 发送短信，完成号码验证。

这件事的反常点在这里：验证对象变了。

旧流程证明的是“这个号码能收到短信”。新流程如果如论坛用户实测和转述所说，证明的更接近“这个号码在一台可发短信的手机上”。门槛没有变得很高，但位置变了。对普通人可能只是多点一步；对接码服务、批量注册和低关联注册，成本会明显上去。

目前还要把话说稳：这不是 Google 官方公告，也看不出是否覆盖所有国家、运营商和所有新账号注册。现阶段能讨论的是趋势和影响，而不是把它写成一条已经全球落地的新政策。

变化不在二维码，而在“谁发短信”

过去的短信验证很直白：Google 发一条验证码，用户把验证码填回网页。只要能读到短信，验证就能过。

论坛用户描述的新流程不同。二维码只是入口，关键动作是手机向 Google 指定号码或通道发出短信。也就是说，系统不只看号码是否可达，还看这个号码是否处在一个能主动发信的设备环境里。

这对反滥用很有用。因为接收验证码早被工业化了：号码池、网页收码、自动填码，整条链路都很成熟。要求手机主动发短信，至少会卡住一批只有“收码接口”、没有真实终端的低成本账号。

简单对比如下：

我更在意的不是“二维码”这个形式，而是 Google 可能在把账号入口从“知道验证码”推向“证明你有一个更稳定的现实入口”。这符合大平台的风控方向。

问题是，风控变强的同时，匿名空间也会被挤压。

最受影响的不是普通 Gmail 用户

普通 Gmail 用户大多用自己的手机号。对这类人来说，新流程的主要变化是体验：多扫一次码，或者多确认一次短信发送。它可能烦，但不一定改变使用方式。

真正被影响的是两类人。

一类是隐私敏感用户。比如希望把 Google 账号和主手机号、主设备、常用身份少关联一点的人。过去，他们可能会用预付费号码、临时号码或低关联号码完成注册。新流程要求手机主动发短信后，这条路会更窄。

另一类是依赖接码服务的人。SMSpool 这类服务的核心价值，是让用户通过网页拿到短信验证码。如果 Google 的新流程要求号码所在设备主动发信，单纯“能收码”就不够了。接码服务不是立刻失效，但可用场景会减少，成本也会被抬高。

这会带来一个现实动作：隐私敏感用户如果正准备创建新的 Google 账号，最好先观望流程是否只在部分风险场景触发；团队如果依赖大量测试账号，也要重新评估账号来源和合规边界，而不是临时去买一批来路不明的账号。

买号不是干净替代方案。

论坛讨论里也有人提到，Google 账号长期存在转售市场。但二手账号的问题更多：历史登录、恢复邮箱、绑定手机号、设备痕迹、异常风控、原持有人找回，都可能留在链条里。对想降低身份关联的人来说，买来的账号未必更“干净”，反而可能把旧风险带进来。

这里还有一个现实约束：手机号和真实身份的关系，不能一刀切。

有些国家购买 SIM 卡需要实名登记；有些地区预付费卡管理更松；运营商留存记录、支付方式、号码回收制度、政府调取门槛也不同。所以不能简单说“手机号一定能追到本人”，也不能说“用一次就没有关联”。真实风险取决于国家、运营商、设备和支付链路。

安全收益成立，隐私代价也成立

从 Google 的角度看，收紧注册入口有现实理由。垃圾邮件、钓鱼、批量注册、养号和绕过风控，都会消耗平台资源。入口越便宜，后面反垃圾、账号恢复和内容治理的成本越高。

这不是 Google 一家的方向。Meta、Apple、Microsoft 在不同场景里，也都越来越依赖设备信誉、电话号码、恢复邮箱、硬件密钥或应用内验证。互联网账号早年像一张随手可取的门票，现在更像一把要绑定现实入口的钥匙。

这个变化有利有弊。

利在于，低成本滥用会更难。弊在于，平台把一部分反滥用成本转移给用户身份关联。对普通用户，这种代价不明显；对记者、研究人员、跨境用户、隐私敏感人群，代价会更具体：注册更难、隔离身份更难、备用账号更难保持低关联。

接下来最该看的不是“怎么绕过”，而是三个边界：

• 它是否只在部分地区、部分运营商或高风险环境触发；
• Google 是否提供不依赖手机号或实体 SIM 的替代验证；
• 新流程是否会从风控选项变成默认注册门槛。

如果它只是风险模型里的一档验证，属于账号安全加码。若它逐步变成新账号入口的常态，Google 账号的社会属性就会变：从低成本互联网身份，变成更依赖手机号、设备和运营商体系的半实名入口。

这才是这件事真正值得盯的地方。

不是多发一条短信，而是账号门口又多了一道现实世界的影子。