Pull to refresh

Comments 25

>Что необходимо сделать, чтобы вашу учетную запись Google не украли

Я тут затеял проверку заведенных мной за прошедшие годы гуглевских учеток…
Итог — три штуки, как выяснилось заблокированы безвозвратно, поскольку к телефону я их не привязывал, и сейчас корпорация добра сообщает «мы тут вас защитили, а теперь давайте ваш телефон!»
Вся /цензура/ суть этой «защиты» — мы защитим вас от желающих угнать аккаун, отобрав аккаунт первыми.
Дивный новый мир /цензура/.
Там кстати вроде нельзя отвязать телефон и использовать только токен, или я не смог настроить…

В связи с последними действиями США (в частности, баном Huawei), а также постоянно усиливающимся шпионажем за действиями пользователей, потихоньку вообще начал уходить от сервисов Google.


Постепенно настраиваю собственный почтовый сервер, чтобы никто не читал мою почту и не продавал рекламодателям информацию о каждом моем движении, покупке и вздохе.


Если не взлетит идея со своим почтовым сервером, перейду на какой-нибудь от третьей стороны, возможно даже платный.

UFO just landed and posted this here
Если не взлетит идея со своим почтовым сервером, приложите чуть больше усилий, чтобы она взлетела :)
Я около десяти лет пользуюсь своим сервером, и доволен как слон. А какую-то забытую почту с гугла забирает fetchmail и кладёт в мой собственный ящик.
Главное иметь постоянный айпишник, и очень желательно запись PTR.
Хотел бы, чтоб в дебрях настроек аккаунта гугла была кнопка «Я клянусь на крови, что понимаю, что делаю. Я принимаю все риски. Отключите это дерьмо».
Ибо неимоверно раздражает. И да, свой телефон я сообщать не хочу. И резервный адрес тоже.
вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили

Сириусли? А если оно в другой стране осталось, например? Было как-то раз такое, ssh выручил.

Тогда все будут нажимать эту кнопку. И смысла от всех защитных 0

Ну, все — не будут, если засунуть подальше. Чтоб только самые терпеливые нашли.
Работал когда-то давно ИТ-инструктором. Во время лабораторных работ поднимается рука, подхожу. Студент говорит, что у него окно ошибки появилось, что делать? «Где оно?» — спрашиваю. «Закрыл» — говорит. «А что там было написано?». «Да я не посмотрел...»
Кнопка, говорите…
Практически перестал пользоваться гуглопочтой, потому что часто езжу за границу, где доступ к почте получить не могу, благодаря гугловской «бдительности». К тому же почтовый ящик забит спамом о «подозрительной активности». Оставил ящик только для старых забытых аккаунтов.

Подозреваю что Гуглу просто стало накладно поддерживать бесплатную почту для такого количества пользователей и он решил немного «проредить ряды» :)

А ведь когда-то всё так хорошо начиналось…
Так ведь у Гугла есть огромное количество платных пользователей. И в случае массовых взломов народ может задуматься — не уйти ли к конкурентам…
Немного ниже в ленте статья с историей: почему привязать телефон к почте — не самая лучшая идея.
Если в крадце- крадут симку и угоняют почту. А дальше все учетки, которые завязаны на эту почту и на туже сим.
2х факторная авторизация на то и 2х факторная. Оба способа авторизации должны быть не связаны, а если украв один из факторов — можно взломать второй, то такая защита мало эффективна.
В общем надо хорошенько задуматься над привязкой номера, в некоторых случаях (не в целом, а в частностях) от этого может быть больше вреда, чем пользы.

Это не двухфакторная, это по сути полуфакторная. Но с другой стороны массовый пользователь не готов к настоящей двухфакторной и при невозможности авторизации из-за отказа настоящего второго фактора он скорее уйдет к провайдеру услуги с 0,5-факторной, ведь там удобнее

Заметка переводчика в конце обобщает весь смысл:


Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям.

Как человек, который работал на Гугл, скажу: как минимум внутри авторизация по физическим крипто-токенам на каждый чих. Если привязываешь аппарат, то еще и по нему.

Соседство с историей про угон почты через клон симки (https://m.habr.com/ru/post/453286) делает эти советы похожими на издевательство. И ладно бы это был первый случай, но у угонов симок многолетняя история.
Привязывать второй фактор к настолько ненадежному каналу — дилетанство. Советовать такое — вредительство.

Ну так я в конце и написал — только токены, только хардкор.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Мой отзыв про содержание оригинальной статьи, к вашим примечаниями никаких претензий.

TOTP на смартфоне (естественно зашифрованном) и хранение резервных кодов в менеджере паролей — лучше чем смс.

SMS только в качестве кодов в дополнение к паролю — это еще нормально, но вот в качестве средства сброса пароля — ужас. В таких сервисах (как в пресловутой гугл почте) лучше номер телефона не давать вообще.

использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защиты
Но ведь выше, на картинке, метод Security key предотвратил 100% атак. Это не TOTP случайно?
Нет. В случае с Google это FIDO U2F. Google брендирует токены и продает их под маркой Titan. Для 2ФА в операционных систтемах и веб-приложениях стоит использовать криптографические токены. А что TOTP, что HOTP постепенно отмирают…
Хм, почему это отмирают? Наоборот, всё больше юзеров ставят себе приложения-аутентификаторы и находят их удобными.
Я так понимаю, что вся соль об этом в этом куске?
Готовьтесь к закату одноразовых паролей (OTP). Уязвимости, присущие OTP, становятся всё более очевидными, в условиях, когда киберпреступники используют социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации этих средств аутентификации.
То есть, кроме того, чтобы набрутить пароль, им требуется очень сильно напрячься и «использовать социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации».
По-моему, достаточно хорошее препятствие на пути к моему аккаунту.
Там даже чуть ниже по отчёту такие строки есть:
Например, при 2ФА «пароль + смартфон» злоумышленник может выполнить аутентификацию подсмотрев пароль пользователя и сделав точную программную копию его смартфона. А это намного сложнее, чем просто украсть пароль.
И я с этим согласен :)
Sign up to leave a comment.