Google: почти никто не пользуется двухфакторной аутентификацией

  • Новость
За семь лет, которые прошли с момента включения Google двухфакторной аутентификации, менее 10% из более чем миллиарда пользователей начали ей пользоваться.

image

Гжежож Милка (Grzegorz Milka), программный инженер Google

На странице Google, посвящённой двухфакторной аутентификации в сервисах компании, пользователей встречает надпись «Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!». Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

На конференции по информационной безопасности Usenix's Enigma 2018 программный инженер Google Гжежож Милка (Grzegorz Milka) рассказал, что менее 10% пользователей выбрали двухфакторную аутентификацию в сервисы Google, и всего 12% американцев используют менеджер паролей.

В теории, Google могла бы подключить двухфакторную аутентификацию всем пользователям сразу, вместо них позаботившись о безопасности аккаунтов. На вопрос, почему компания этого не сделала, Milka на конференции ответил «Вопрос в юзабилити. В том, как много людей перестанут пользоваться нашими сервисами, если мы заставим их использовать дополнительные инструменты безопасности».

image

После проникновения в аккаунт в Google мошенники используют один и тот же сценарий. Сперва отключают уведомления, затем ищут нужную им информацию — в том числе данные банковских карт, личные фото, информацию, связанную с криптовалютными кошельками, копируют список контактов и «стирают» за собой все следы.

Как видно на слайде ниже, всё работа по получению информации и очистке ящика от каких-либо следов мошенничества занимает четверть часа.

image

В 2016 году в Великобритании и США провели опрос 4000 человек на тему сложности и количества используемых паролей, «угона» аккаунтов и использования двухфакторной аутентификации. Оказалось, что наиболее внимательно к безопасности относится поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет. Они реже других используют один пароль для всех аккаунтов и чаще используют двухфакторную аутентификацию.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Вы пользуетесь двухфакторной аутентификацией в Google?
Вы пользуетесь менеджерами паролей?
Поделиться публикацией
Похожие публикации
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 238
  • +1
    Я не пользуюсь двухфакторной аутентификацией, потому что это неудобно.
    • +6

      Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству. И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.
      Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.

      • +3
        Причём это сделать проще, чем отправлять SMS и по идее с этого стоило бы начинать, предоставляя пользователю в будущем выбор )
        • +1
          А к SMS-переписке, кстати, можно получить доступ и через оператора сотовой связи
          (у них ведутся журналы, подробнее — см. СОРМ-3).
        • 0
          Мне вообще не нравится привязка ко второму устройству. Могли бы, к примеру, какой-нибудь графический код придумать в пару к паролю — картинку там заранее заданную показывать или что-то подобное.
          • +3
            Тогда это по сути перестанет быть двухфакторной аутентификацией, ведь в обоих случаях используется один и тот же фактор «знания» просто в немного разной форме.
            • 0
              Но разные «знания». Если пароль можно кейлоггером утащить, то графический ключ уже не так просто увести. Ну или действительно присылать код на вторую почту или в аську ту же (ну или любой другой мессенджер).
            • +4
              Есть приложение, например Google Authenticator,
              что осложняет доступ другого пользователя к вашим данным.
              • 0
                Не только другим пользователям, но и вам. Если вдруг понадобилось зайти проверить почту, а телефон забыли дома или его украли…
                • 0
                  Если так смотреть, то и замкИ на дверях — это усложнение
                  (а сколько времени потеряно, если забыл/{взял не тот} ключ)?

                  Несколько раз помогал подключать и настраивать 2FA, разным людям.

                  Зато 2FA — это гарантия, что без особых ухищрений
                  (как то: доступ к отправляемым Вам сообщениям;
                  речь о ваших затратах на эту доп.защиту),
                  никто не «залезет» в ваш ящик
                  (а если и попробует, Вы об этом узнаете, получив сообщение с кодом подтверждения).

                  Узнать пароль можно, например, через троянца (на скомпрометированной системе),
                  или через незакрытую дыру в настройках вашего аккаунта/(используемого софта).

                  Если Вы признаёте замки на дверях (в т.ч. продублированные/усиленные), то должны понимать, что 2FA работает на Вас.

                  Да, впринципе, лучше иметь несколько разных ящиков, для разных целей.

                  Насчёт потери телефона (нет его рядом, когда нужен):
                  виноват тот, кто не подумал об этом.

                  Чем проще система, тем меньше её стойкость (чаще всего) ко взлому.
                  Всё просто :)
                  • 0
                    > Если так смотреть, то и замкИ на дверях — это усложнение

                    Только вот 2FA на почте — как замок на туалете, для большинства. Вроде бы и хочется иметь возможность запереть, но не настолько важно чтобы из-за этого терпеть неприятности из-за забытого ключа. Поэтому запирается на защёлку и не более того.
                    • 0
                      И почта разная бывает:
                      для аккаунта, куда привязаны кошельки (напр-р, криптовалют):
                      поверьте, если у Вас «угонят» такой ящик, Вы радикально измените взгляды на 2FA :),
                      и самый общий, для всего не очень важного.
                      • 0
                        Мы же на хабре — "*коины" вторичны, а вот доступ до исходников проектов, контакты разработчиков Google/Mozilla/W3C, доступ до вообще всего (фиг с ним, пусть будет и до *коинов за одно)… — вот тут да, только 2FA + KeePass.
                    • 0
                      Как раз-таки пароль — это как дверной замок. Т.е. он защищает от случайных прохожих и бродячих животных, но если кто-то целенаправленно решил обчистить вашу квартиру, то никакой даже самый лучший замок вам не поможет.

                      А представьте, если бы у вас дома был замок с 2FA. Т.е. вы подошли к двери, повернули ключ, а замок у вас спрашивает одноразовый пин-код или код из СМС (т.е. вам нужно достать ваш смартфон, разблокировать, открыть приложение, вбить код в замок). Удобно?! Не думаю… Безопасно?! — Намного лучше, чем без 2FA, но кто-то же может стоять сзади и стукнет вас по голове как только вы закончите процедуру входа… А что если за вами гонится кто-то или вы опаздываете на самолёт, а тут вместо того, чтобы быстро открыть дверь ключом, вам приходится исполнять целую церемонию на 5 минут…
                      • 0
                        но если кто-то целенаправленно решил обчистить вашу квартиру, то никакой даже самый лучший замок вам не поможет.

                        Что за откровенная чушь? Пароли после определённой длины в принципе не подбираются. Тут или взлом сервиса, или ПК пользователя. То есть по аналогии заход через окно, ну или стену проломить.
                        Безопасно?! — Намного лучше, чем без 2FA

                        А теперь представьте, что завладев телефоном, можно тупо сбросить пароль. Да, вы узнаете о взломе. Впоследствии, когда сами не сможете зайти.
                        • 0
                          И до определённой длины тоже не подбираются. Но они прекрасно угадываются и перехватываются.
                          • 0
                            Но они прекрасно угадываются

                            Как? Как вы угадаете случайно сгенерированный менеджером паролей вида XTruBI!Z8R3mfDFHW@fH
                            и перехватываются.

                            Если ваш канал прослушивают, тут мало что поможет.
                            • 0
                              Этоуже не пароль, а какой-то токен. Уж лучше использовать цифровую подпись вместо пароля чем такой пароль. Его не запомнишь, а значит куда-то запишешь. А то что записано… рано или поздно утечёт. Менять пароль теперь каждый месяц?
                              • 0
                                Вполне запоминаемый пароль. Он только выглядит страшно. А насчёт записывать — вам его и так и так придётся — когда вы его вводите при авторизации.
                                Если же под паролем, который можно запомнить, вы имели ввиду что-то вида @LeXeY345Q — то я вас расстрою — это вообще непригодный пароль.
                                • 0
                                  Его не запомнишь, а значит куда-то запишешь.

                                  Фразу про генерацию парольным менеджером вы пропустили? Там и хранится, под его защитой, и никуда не утекает.
                                  • 0
                                    Парольный менеджер не запустишь во враждебном окружении, например в интернет-кафе или на общем компьютере который наверняка кишит вирусами. Пока мысли не научились читать голова — самое надёжное место хранения паролей.
                                    • 0
                                      Парольный менеджер замечательно запускается на любом смартфоне.
                                      • 0
                                        Пока мысли не научились читать голова — самое надёжное место хранения паролей.

                                        Пока не забудете один из сотни паролей вышеприведённого вида- да, надёжное. Но вот я почему-то плохо их запоминаю.
                  • +3
                    Использую для всех TOTP (в том числе гуггл) приложение Authenticator Plus с синхронизацией через Dropbox. С одного устройства добавил — на всех появилось. Очень удобно.
                    • +2
                      осталось только скомпрометировать ваш дропбокс
                      • –3
                        +1
                        • 0
                          У меня подобная схема, дропбокс также защищен 2FA через смс. Для и утечка бэкапа Authenticator Plus не страшна — она зашифрована мастер-паролем.
                        • 0
                          Что-то вообще непонятно, кто разработчик этого приложения. Ну и правила использования еще более мутные.
                        • 0
                          или к конкретному устройству


                          Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

                          И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.


                          Если это ваша основная почта, то они эти данные наверное и так имеют.
                          • 0
                            Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

                            Я бы больше доверял своему домашнему серверу.


                            Если это ваша основная почта, то они эти данные наверное и так имеют.

                            Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.

                            • 0
                              Ага, WD Cloud c их специальными паролями для d-link
                              • 0

                                Нет, я не имел ввиду WD Cloud, использующие проприетарную My Cloud OS. Это вообще плохой пример, когда мы говорим о приватности.


                                Я больше доверяю домашнему серверу на основе любого популярного свободного дистрибутива Linux или *BSD.

                                • 0
                                  У меня просто Wd Cloud и я до сих пор бешусь от той истории с паролями… Но работает для моего кейса использования хорошо и теперь только локально (надеюсь с настройками они не врут). По поводу любого свободного дистрибутива — я бы предпочел лучше платный, но с надежными и быстрыми обновлениями. Не доверяю я ничему бесплатному. За хороший продукт надо платить — иначе получается и спрашить не с кого. Если продукт не выдержал эксплуатации и имеет дыры — голосую кошельком в пользу другого. Но это личное мнение конечно.
                          • 0

                            Google Authentificator тоже на нескольких устройствах может стоять, правда без синхронизации. Но имхо она и не нужна, ввести код не так и сложно.

                          • +7
                            Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству.

                            Просто с TOTP нет привязки, я на нескольких сервисах так freeOTP использую. Но гугл как выяснилось не дает включить 2FA без привязки к номеру, а потом еще удивляется что его никто не использует.

                            • +6

                              Именно! Я использую Google Authenticator (тоже TOTP) на других сайтах, и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона. Так что в этом плане они ССЗБ, слишком хамски-требовательно собирают личные данные.

                              • 0
                                Вот вы свой номер пораздовали всем своим друзьям, у кого-то телефон на адндроиде, и наверняка есть синхронизация контактов с аккаунтом гугла. Получается независимо от вашего желания, ваш номер уже известен корпорации.
                                • 0

                                  Это, безусловно, огорчительно, но я могу контролировать только то, что я могу контролировать. Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email и IP. На самом деле мой номер, безусловно, есть у гугла и так — я использую Google Play. Но для регистрации в Google Play использован отдельный email, который используется только для телефона. В общем, делаю что могу, чтобы не упрощать им жизнь. На самом деле, при сильном желании, гугл сможет увязать вместе все мои телефоны и email-ы, не всё автоматически, и не всё со 100% уверенностью, но сможет — но я сомневаюсь, что кто-то там будет этим заниматься сейчас, когда абсолютное большинство людей сами добровольно отдают всю эту инфу.

                                  • 0
                                    Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email

                                    Я бы не был так уверен в этом. У многих в контактах, на смарте по крайней мере, пишется и мэйл, причем обычно таки основной — если он известен.
                                    • 0

                                      Я в этом уверен, потому что во-первых знаю, с кем общаюсь по email и как у них настроена почта, а во-вторых потому, что у меня основной email на своём домене, а вовсе не на gmail, так что даже если кто-то и указал email к моему телефону, то не gmail-овский, так что это практически ничего не даст (примерно ту же инфу можно найти у меня на сайте и в публичном резюме).


                                      Суть не в том, чтобы от кого-то скрываться, а в том, что я готов сообщать свои личные данные только в обмен на что-то, что нужно лично мне — например, свой сайт и публичное резюме мне нужны, чтобы получать хорошую работу. А когда из меня пытаются требовательно вытягивать излишние (для функционирования нужного мне сервиса) личные данные, на пустом месте, не давая ничего взамен — я это воспринимаю как хамство и, по мере сил, сопротивляюсь.


                                      Возвращаясь к теме статьи, про двухфакторную авторизацию, суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP), и она не требует знания номера телефона. Но гугл требует сообщить ему номер телефона и без этого не даёт включить двухфакторку через TOTP. Это — наглое вымогательство, и я лично этому потакать не собираюсь.

                                      • 0
                                        суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP)
                                        — Речь, как понимаю, о том, что именно номер телефона абонента — это не есть тот номер, по которому сеть (сотовой связи) обеспечивает абонента связью. Абонентский номер — нужен лишь для людей (чтобы могли связаться).

                                        Это — наглое вымогательство, и я лично этому потакать не собираюсь.
                                        — Теоретически — согласен. Практически-же — имею больше плюсов, чем минусов, от той-же 2FA.
                                        • 0
                                          Суть в том, что вы хотите пользоваться сервисами гугла, и ничего не давать в замен. Причины понятны, гугл настолько приелся уже, его сервисы как само собой разумеющееся, стали частью нашей жизни. Но существование этих сервисов обеспечивается рекламой, цель рекламы — продавать, чтоб продавать хорошо, надо знать что пользователю нужно, для этого нужно иметь как можно больше информации о пользователе.
                                          • 0

                                            В большинстве случаев Вы были бы правы, но в моём случае — это не совсем так.


                                            Лично я из всех сервисов гугла реально пользуюсь только Play Market-ом, потому что мне кажется (возможно — зря, я из альтернатив использую только F-Droid, другие даже не смотрел пока), что в других маркетах нет нужных мне приложений (широкого выбора игр, в первую очередь, и некоторых платных приложений) и даже такого поверхностного контроля вредоносных приложений как в гугле.
                                            Почтой гугла я практически не пользуюсь — у меня есть несколько аккаунтов, но используются они исключительно через POP3, а не веб-интерфейс gmail, так что в гугле они или любом другом сервисе — для меня не имеет значения, где исторически открыл аккаунт там и живёт.
                                            Поиском не пользуюсь — предпочитаю duckduckgo.
                                            Документами не пользуюсь — предпочитаю paper.dropbox.
                                            Диском не пользуюсь — предпочитаю dropbox и акционный терабайт в mail.ru (должна же быть от mail.ru хоть какая-то польза) через webdav.


                                            Отдельно я иногда вынужден пользоваться почтой/документами/диском гугла потому что этого требует компания, на которую я в данный момент работаю — но для меня это не является поводом делиться персональными данными с гуглом, на самом деле я для таких рабочих вещей тупо завёл отдельный телефон с отдельной симкой — если компания хочет отдавать свои данные гуглу, это её право, я возражать не стану и буду рабочие документы держать в гугле, но только рабочие, а не личные.


                                            Ну и последнее, что касается рекламы — даже если я вообще все личные данные передам гуглу это никак не повлияет на его доходы и ту рекламу, которую я вижу — потому что последний раз я рекламу в инете видел лет 15 назад, примерно когда стали популярны анимированные баннеры — с тех пор всё заблокировано намертво, и на компе и на телефоне.

                                            • 0

                                              Перечитал сейчас этот коммент, и увидел любопытную закономерность — в том, что из меня получился такой вот "невыгодный" пользователь виноваты сами рекламодатели и компании:


                                              • Агрессивно блокировать рекламу я начал только после того, как она стала анимированной/popup/popunder и начала мешать читать основной контент сайта.
                                              • К gmail я относился вполне дружелюбно в то время, когда они обещали "вот-вот" реализовать поддержку PGP. Как только стало ясно, что читать наши письма для гугла важнее, чем обеспечить безопасность переписки, и что PGP там не будет никогда (или будет, но с ключами у них на сервере, а не у меня в браузере) — я перестал воспринимать gmail как полезный сервис.
                                              • Я, вообще-то, к акциям равнодушен, и никогда ничего не делаю только потому, что мне сделали "выгодное" предложение — с зарплатой программиста можно позволить себе не гоняться за скидками и не экономить каждую копейку. Терабайт в облаке mailru был первой акцией, на которую я среагировал — и причина была вовсе не в том, что мне нужен этот терабайт, а в том, что они слишком нагло требовали установки своего говнософта с сильно подмоченной репутацией. Так что я из принципа поставил его в виртуалке, состояние которой после этого вернул на снимок сделанный до установки как только выполнил условия акции. А когда они (ожидаемо) отключили "бета" поддержку webdav, чтобы без их софта этим терабайтом пользоваться стало невозможно — поставил стороннюю утилиту работающую как webdav-прокси в их протокол.

                                              Я понимаю, что реклама нужна, что бедным компаниям нужно получать прибыль… просто помимо денег надо иметь ещё и совесть! И вот с последним у них проблема. Пока это не изменится — не надо рассказывать мне какой бессовестный я, что лишаю компании их "недополученной прибыли".

                                              • 0
                                                Вы наверняка пользуетесь поиском google, youtube, android, браузером на webkit и тд. Это все предоставлено вам бесплатно. Но если вы что-то берете, надо что-то отдавать, это по крайней мере честно и по совести. Ну а вы хотите только брать, и ничего не хотите давать в замен. Просто прекратите пользоваться всеми продуктами гугла, и тогда все эти проблемы пропадут.
                                                • 0

                                                  Странная у Вас логика.


                                                  Во-первых, Вы меня не услышали — продуктами гугла, включая поиск, я практически не пользуюсь. Про youtube я отдельно не писал, но пользователем youtube я себя так не считаю — я в него не логинюсь, видео не выкладываю, комменты не пишу, видео смотрю хорошо если одну штуку в месяц.
                                                  Во-вторых, если гугл когда-то купил андроид, а у меня стоит цианогенмод, поддержку которого компания цианоген уже год как прекратила, то что и кому именно я, по Вашему мнению, должен — гуглу? оригинальному разработчику андроид? компании цианоген? разработчикам каждого приложения на моём телефоне? а ничего, что я за телефон уже и так заплатил порядка $450?
                                                  Что до браузера на вебкит… ну, пока файрфокс не отключил поддержку половины плагинов — я браузерами на вебките тоже не пользовался, но сейчас да, пока на вивальди. Что возвращает нас к предыдущему пункту — если мне нужен браузер а-ля 12-я опера, а вовсе не хромиум, так что и кому я должен — компании вивальди или гуглу? Или просто должен всем крупным компаниям по определению, просто потому, что дышу одним воздухом с ними?


                                                  Что до честно и по совести — как я уже писал выше, абсолютное большинство компаний, включая гугл (после окончания фазы развития компании под лозунгом "don't be evil"), ни честность ни совесть не практикуют — так что лично им я по чести и совести не должен абсолютно ничего. Миру в целом — может и должен, и хотя мне не нравится такая постановка вопроса я считаю что более чем достаточно возвращаю в опенсорс бесплатных проектов — у меня выложено более 30 модулей на CPAN, более сотни репо на гитхабе, кучка статей… В общем, на роль паразита который хочет "только брать, и ничего не хотите давать в замен" я не очень тяну.


                                                  Просто я отдаю взамен вовсе не то, что хотел бы от меня получить гугл, когда предоставлял "бесплатный" доступ к своим сервисам — но почему, с Вашей точки зрения, это проблема? Гугл мне тоже даёт вовсе не то, что я бы хотел получить — отсутствие поддержки PGP в gmail, куча дыр и нарушений приватности в андроиде и гуглхроме, малварь в play market, поиск который за мной следит, etc. Но я беру — или не беру — что дают. Гугл тоже может брать — или не брать — софт, который я выкладываю в опенсорс. Это, по-вашему, недостаточно честно и по совести?

                                                  • 0
                                                    Так если не хочется прекращать пользоваться, либо нет возможности, чтоб окончательно искоренить проблему. Вас в любом случае гугл не заставляет чем либо пользоваться. И если для использования чего-либо, от вас просят что-либо, то за вами остается выбор, согласиться на условия или нет. Но зачем говорить какие они плохие за то, что они попросили ваш номер телефона. Со стороны это выглядит как-то нехорошо и эгоистично. При том что ничего плохого они вам не сделали. Это все равно что пойти в магазин и возмущаться на продавца за то, что он попросил от вас плату за товар.
                                                    • 0

                                                      Номер телефона они просят давно (якобы для лучшей защиты аккаунта), но это опционально и я к этому отношусь спокойно и без возмущения.


                                                      Ещё они несколько лет назад начали требовать номер при регистрации нового аккаунта. Это было огорчительно, но это их право — я просто начал регистрировать новые email-ы в других сервисах, претензий к гуглу, опять же, никаких.


                                                      А здесь речь немного о другом — при попытке включить 2FA (которым пользуется слишком мало людей, как они плачутся в статье) номер телефона выставляется обязательным требованием, с выбором между звонком и СМС — хотя на самом деле он таковым не является, и в дальнейшем (после подтверждения номера) появляется возможность выбрать другие варианты 2FA, в т.ч. не требующие номера телефона. Здесь уже имеет место неявная подмена понятий (что номер и 2FA это одно и то же), введение в заблуждение (что варианты 2FA это только звонок или СМС), отсутствие своевременного информирования пользователя (что другие варианты 2FA, не требующие номера, станут доступны после верификации номера). Всё это уже, на мой взгляд, является хамством и вымогательством личных данных. Возможно, юридически, это находится в серой зоне и засудить их за это не получится. Но это не значит, что это нормально и надо с этим соглашаться — это значит, что законы далеки от совершенства.


                                                      Это все равно что пойти в магазин и возмущаться на продавца за то, что он попросил от вас плату за товар.

                                                      Нет, это всё равно, что продавец помимо платы за товар попросил у вас заодно порыться в вашем телефоне.

                                        • –3
                                          +1
                                    • 0
                                      и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона.

                                      Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
                                      как выглядит в настройках

                                      Телефона нигде нет, специально проверил.
                                  • 0
                                    Вы серьёзно считаете что гугл и остальные корпорации ещё не знают ваш номер телефона?

                                    Ваш номер с ФИО засветился у гугла давным давно, когда кто-то из ваших знакомых синхронизировал свой андроид, вы могла этого человека вобще один раз в жизни видеть, это мог быть банально сантехник из жека которого вы просили позвонить и оставили свой номер.

                                    Гугл даже знает как вы выглядите, что покупаете и что любите есть/пить, проанализировав фотки ваших друзей которые они на гуглофото хранят и прочитав все ваши письма об онлайн заказах.

                                    Скрыться от корпораций невозможно, не прекратив общение с внешним миром, всегда найдётся кто-то кто тебя сдаст, даже не подозревая.
                                    • 0

                                      От одного номера с ФИО пользы мало. Чтобы делать на этой информации деньги или нанести ущерб, нужно привязать к этому кучу других данных — email-ы, геолокацию, фоточки, интересы, посещаемые сайты, поисковые запросы… И вот доступ к этой информации частично можно ограничить (заблокировать геолокацию, не заливать фоточки, …), частично осложнить объединение этих данных в общую запись (использовать для телефона отдельный email, использовать на андроиде XPrivacy а в браузерах плагины вроде uBlock Origin и uMatrix, …).

                                      • 0
                                        Автор камента наивно полагает что его личные данные ещё пока что неизвестны =) Обычно данные сначала попадают к корпорации, а потом уже люди задумываются о приватности.
                                        Что потом делают корпорации с этими данными это уже другой большой вопрос.

                                        PS
                                        А чтобы блокировать геолокацию, надо обладать нужными знаниями, перепрошить смартфон на прошивку без сервисов гугла (для многих телефонов таких нет) или под рутом выпилить сервисы гугла.
                                        Простое отключение геолокации не прекращает отправку данных о локации в гугл, лишь в аккаунте перестают отображаться твои перемещения на карте, это может быть полезно в ситуации когда злоумышленник угнал твой аккаунт (воспользовавшись отсутствием 2fa) и может посмотреть твои перемещения по карте.
                                        • +1

                                          Автор коммента не настолько наивен, и задумался о приватности задолго до того, как об этом стало модно говорить (и, да, до того, как добровольно сообщать о себе корпорациям что-либо, чего не хотел сообщать). Нужными знаниями автор так же обладает, телефон прошит как полагается, более того, автор выложил здесь статью о том, как это правильно делать: Защита личных данных на Android-телефоне. За прошедшие годы она несколько устарела, основная проблема — XPrivacy не работает на версиях Android начиная с 7.0, поэтому автор пока, скрипя сердцем из-за отсутствия обновлений, остаётся на 6.0.1. Рано или поздно, скорее всего, необходимость в обновлениях перевесит потребность в контроле над телефоном и приватностью, но пока — я предпочитаю сохранять XPrivacy.

                                          • 0
                                            Раз вы так близко с ним знакомы, расскажите как он умудрился запретить всем с кем общается по телефону, особенно малознакомым людям, заносить его номер в их список контактов.
                                            • 0

                                              Про это уже было выше.

                                              • 0
                                                Даже вы, с учётом всех предостережений, признаете что ваш номер всётаки есть у гугла и вопрос стоит лишь в продвинутости алгоритмов сопоставлений, что уж говорить про автора комментария, который наивно полагает что его личная информация не доступна =)

                                                PS
                                                Есть такие штуки как цифровой отпечаток компьютера, как с этим бороться? Для каждой почты использовать отдельный ПК?
                                                На мой взгляд нет смысла в полумерах, типа не включать 2fa и убирать галочку геолокации в настройках, тут нужен либо сверхпараноидальный режим во всём что касается коммуникаций, либо вообще не париться, полумеры бесполезны.
                                                • 0
                                                  И? Тут была статья как на основе всего 4х точек в пространстве времение можно вычислитьс отдельного человека из миллионов по логам базовых станций. Собственно вот
                                                  habrahabr.ru/post/174221


                                                  Анализ базы данных, в которой была собрана анонимизированная информация о времени и месте звонков и СМС 1 500 000 абонентов на протяжении пятнадцати месяцев показал, что для идентификации 95% людей достаточно знать всего четыре пространственно-временные точки.

                                                  Всего две точки позволяют различить индивидуальный след половины пользователей, а одиннадцати достаточно, чтобы различить все до единого следы. На иллюстрации слева приведены примеры таких индивидуальных следов. Авторы исследования сравнивают уникальность мобильного следа с отпечатками пальцев — в 1930 году французский пионер криминалистики Эдмон Локард показал, что для идентификации по отпечатку пальца достаточно двенадцати совпадений деталей рисунка.


                                                  Ну вы поняли? :) Анализ бигдаты позволяет деанонимизировать всех. А те кто не поддаются деанонимизации увы сразу привлекут внимаение систем, как необычные элементы

                                                  Собственно вот
                                                  habrahabr.ru/company/nordavind/blog/180063
                                                  • 0

                                                    Не путайте возможность получить немного каких-то данных через анализ бигдаты, и добровольный слив вообще всех возможных данных в удобной для анализа форме.


                                                    Что касается привлечения лишнего внимания — на здоровье, пусть развлекаются. Даже если меня целевым образом взломают и сольют всё, что смогут — они получат не более, чем все остальные отдают добровольно, а вот ресурсов на это им придётся затратить намного больше. Мои данные принадлежат мне, и делиться ими со всеми любопытствующими желающими я не считаю необходимым или полезным для себя. Если им очень-очень любопытно, они готовы сильно потратиться на получение этих данных, и у них получится взломать мои системы — ну и ладно, значит моей квалификации не хватило для их защиты, и в этом никто кроме меня самого не виноват. Ну и кроме того, чем больше людей будут понимать вред от добровольного слива всех своих данных корпорациям, тем больше будет стараться это предотвращать, и тем меньше внимания будет привлекать каждый из нас.

                                      • 0
                                        У сервисов Майкрософт можно на почту получать ну и на телефон тоже. Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!
                                        • 0
                                          Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!


                                          Что здесь не так?
                                          • 0
                                            Они для проверки просят последние 4 цифры телефона. Из них 2 последние показаны на предыдущем экране.
                                            • 0
                                              Из них 2 последние показаны на предыдущем экране.


                                              Знание двух последних цифр ничего не дает — код будет выслан на полный номер телефона, состоящий не из двух и не из четырех цифр.

                                              Две цифры — всего лишь напоминалка владельцу аккаунта о том, какой именно номер был использован для аутентификации.

                                              У меня, например — используются три разных номера для трех разных групп аккаунтов. Без подсказки их легко перепутать.
                                        • 0

                                          Смартфонами вы тоже не пользуетесь?

                                          • 0
                                            Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.

                                            У Google есть Google authentificator в качестве второго этапа. Ему не нужен номер, только более менее точное время.
                                          • +1
                                            Достаточно спорное заявление, 2FA требуется только при логине на новом компьютере. Если на компе не выходить все время из учетки, то ее требуется сделать только один раз.
                                            • 0
                                              Гуглопочта где-то раз в неделю на всех компьютерах просит повторно пароль ввести.
                                              Ну и вообще я за себя говорю. Кому-то может и удобно.
                                              • +4
                                                двухфакторная включена, ничего не просит…
                                                • +2
                                                  У меня тоже. Никаких повторных запросов тоже не случается, если гугл уже знает это устройство. Иногда при совершении опасных действий может повторно запросить основной пароль. Мне кажется у Гугла одна из самых ненавязчивых форм 2ФА. А самая настырная и раздражающая — у LastPass.
                                                  • 0
                                                    В плане Гугла, у меня так же не запрашивает повторной авторизации, у LastPass включена проверка каждые 30 дней, но включил я ее намеренно. Все это можно изменить в настройках.
                                                  • 0
                                                    За последние пол года два раза одновременно на всех компах вылетал в перелогин. Возможно гугл что-то считает подозрительной активностью.
                                                    • 0
                                                      два раза за полгода перелогиниться, разве это проблема?
                                                      • 0

                                                        Говорить, что "совсем ничего не просит" не корректно. А перелогиниться нет, не проблема.

                                                • +3
                                                  Попробуйте это Стиму объяснить. Клиент ещё более-менее держит сессию, но и то иногда требует снова залогиниться. А если браузером пользоваться, да ещё на разных машинах, да ещё разными браузерами — постоянно слетает авторизация. Причём вход отдельно в магазин, отдельно в Community.
                                                  • 0
                                                    В чем проблема пользоваться клиентом стима и не любить себе мозг? За 2 года владения текущим ПК логиниться приходилось раза 3 максимум.
                                                    • +1
                                                      В том, что клиент Стима не позволяет ставить расширения, зачастую здорово упрощающие жизнь. В том, что ссылки из почтовых уведомлений Стима открываются в браузере, а не в клиенте. В том, что интеграция сторонних сервисов со Стимом тоже производится в браузере, а не в клиенте.
                                                  • 0
                                                    нет, если гуглю кажется что-то подозрительным (например ваш ип) то попросит ввести код.
                                                  • +1
                                                    Эти неудобства причем иногда сам гугл создает на ровном месте. Купил недавно телефон на андроиде, вставил симку, включил, и мастер начальной настройки радостно сообщил — мы подключились к мобильной сети, давайте теперь залогинимся в гуглосервисы! Ввожу логин, пароль. «Введите код, отправленный вам в SMS». Только SMS прочитать мы вам не дадим. Потому что нехер, ты сначала залогинься, а смски свои потом почитаешь. Гугл, вы идиоты.
                                                    • 0
                                                      Разве он при этом сам не достаёт код из полученной SMS?
                                                      • 0
                                                        У меня не достает.
                                                    • 0
                                                      1Password имеет поддержку одноразовых паролей, доступно на всех возможных системах и расширениях браузеров.

                                                      Я давний пользователь, и это очень удобно. Особенно после историй друзей как они потеряли телефоны, а у них не было бэкапа, и 2FA исчезала. Даже если я все устройства потеряю, то всё равно при синхронизации с сетью я верну все свои пароли и 2FA.
                                                    • –4
                                                      Интересно через сколько на минут кокой-нибудь GM отреагировали власти, если бы они сказали: Мы знаем что ремни безопасности спасают жизни, но из юзабилити включать в стандартную комплектацию их не будем.
                                                      • +3
                                                        Не равнозначное утверждение. 2fa в комплекте есть, просто её не используют клиенты.

                                                        Это как если бы сказали «мы знаем, что ремни безопасности спасают жизнь, но из-за юзабилити не станем автоматически принудительно пристегивать каждого севшего в машину».
                                                        • 0
                                                          Во многих автомобилях есть неотключаемое предупреждение о не пристегнутом ремне, иногда это ужасно неудобно, но это правила регуляторов.
                                                          • +2
                                                            И заглушки в замках не помогают?
                                                            • 0
                                                              Коллега жены разбился, да еще и удавился ремнем, так как имел привычку перекидывать через голову постоянно пристегнутый ремень.
                                                              • +13
                                                                Всегда интересно — кого такие люди пытаются перехитрить?
                                                            • 0
                                                              Или просто вытащить провод из разъёма датчика на замке
                                                            • +1
                                                              всего 7 лет езжу, но ни разу не испытывал неудобств, с удивлением смотрю на тех кто без ремня, расскажите хоть на словах, что за неудобство такое.
                                                              • 0
                                                                На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать. Плюс, когда пристёгнут, сложно дотянуться до бардчка или, скажем, достать что-то с заднего сиденья (понятно, что не во время движения, можно и на красном свете).

                                                                P. S. Ни в коем разе не агитирую против ремней, просто отвечаю на вопрос.
                                                                • 0
                                                                  Остановился, отстегнул, достал, застегнул, нет?
                                                                  • 0
                                                                    Я ж не говорю, что это нерешаемая проблема. Просто ситуация, когда без ремня существенно удобнее, чем с ним.
                                                                    • 0
                                                                      Немного оффтопа — еще лет с 10, как понял за чем ремень, если сидел спереди, стал пристегиваться (ну время такое было, что сзади ремней не было или не работали). И на столько выдрессировал себя, что без ремня спереди вообще не могу, почти панический страх, если этого не сделаю. А в 2016-ом сел впервые на переднее сиденье БМВ, за разговором как-то не заметил, что не пристегнут был. Уже когда надо было выходить, с дичайшим ужасом осознал, что всю дорогу ехал без ремня. На пару секунд аж рассудок отключило от осознания.

                                                                      Эх, самые продвинутые кресла, что я когда либо видел/ощущал… активная поддержка спины и удержания тела решают, само кресло на ходу (машины) блокирует тело просто идеально (хорошо так обхватывает).
                                                                      Это был единственный раз, что я без ремня ехал так.
                                                                    • 0
                                                                      можно и на красном свете

                                                                      Если в это время другой водитель решит проскочить на красный/уснёт/другая причина, что будет с водителем копающимся в бардачке или на заднем сидении?
                                                                      • 0
                                                                        Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                                                                        В любом случае, голову отключать никогда не рекомендуется, и любая ситуация оценивается самостоятельно. Я не думал, что к простой фразе начнутся придирки, поэтому не стал расписывать точную планировку дорожной ситуации и прикладывать план расположения всех транспортных средств с указанием их векторов скоростей, с теоретическим обоснованием того, что процедура залезания в бардачок и взятия нужного предмета, занимающая такое-то количество времени, в указанной ситуации будет безопасной. Какой смысл загромождать комментарий бесполезными очевидными деталями? Или вы будете утверждать, что таких ситуаций не может быть в принципе? Даже когда водитель стоит в дикой пробке, окружённый неподвижными машинами со всех сторон?
                                                                        • +1
                                                                          Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                                                                          Не совсем понял насчёт телепортации.
                                                                          У водителя сзади банально может свести ногу судорогой (или он перепутает педаль) и всё, впереди стоящую машину выбросит на перекрёсток/в кювет.

                                                                          Но не суть. Писал я это не ради придирки, а что бы напомнить, транспортное средство является объектом повышенной опасности, а потому отстёгивать ремень, когда поблизости находятся другие транспортные средства не разумно ни под каким предлогом.
                                                                      • +1
                                                                        На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать.


                                                                        У меня таких проблем даже на жигулях не было )
                                                                        Пристегиваюсь на автомате, даже если еду недалеко и небыстро.
                                                                        В такси — тоже.
                                                              • +2
                                                                Если бы двухфакторная аутентификация гугла представляла из себя просто SMS с кодом на телефон, я бы с удовольствием ей пользовался. К сожалению, по факту требуется установка приложения, в отзывах к которому масса негатива, связанного с проблемами входа в аккаунт после переустановки, обновления, утери телефона. Если SIM-карту и номер я могу восстановить у оператора, то в случае привязки к конкретному экземпляру софтины мне придётся дополнительно ещё связываться с техподдержкой гугла и доказывать им, что я не верблюд.

                                                                С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.
                                                                • +6
                                                                  UPD: мне в личку написали, что у меня устаревшая информация. Проверил, действительно, есть двухфакторная и по sms, и уведомлениями android без стороннего приложения. В общем, всё круто, включил.
                                                                  • +1
                                                                    после переустановки, обновления, утери телефона

                                                                    Вы ведь как-то решаете вопрос с сохранением информации на случай переустановки или утери. Бекапы там, синхронизация с облаком? Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?
                                                                    • 0
                                                                      Google Authenticator предлагается ставить на устройство с android, где никаких бэкапов у меня нет, т.к. никаких важных данных там не хранится. Не уверен, дублируется ли какая-то информация с GA в облако по умолчанию. Пока буду обходиться другими способами двухфакторной аутентификации, без установки софта.
                                                                      • +1
                                                                        Он на любой смартфон ставится, и даже не смартфон — есть реализации на J2ME, поддержка в KeePass/KeePassX/MacPass, отдельные приложения для ПК.
                                                                      • +1
                                                                        Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?

                                                                        В самом Google Authentificator такая возможность не предусмотрена, в Андроиде без рута тоже.

                                                                        Доступ можно восстановить, воспользовавшись альтернативным каналом получения одноразовых паролей.
                                                                      • +3
                                                                        С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.

                                                                        У меня на каждый сервис пароль из не менее 16 случайных символов. Я это физически помнить не смогу)
                                                                        Использовать хороший и большой, но одинаковый пароль везде — это еще большее снижение безопасности, т.к. при его компроментации со стороны какого-то одного сервиса под удар подставляется вообще всё.
                                                                        • +2
                                                                          Я использую везде разные пароли от 16 до 30+ символов, но они не случайны, а компонуются по определённой схеме. Если не светить саму схему, то компрометация любого из паролей несущественна.
                                                                          • +2
                                                                            А если надо сменить пароль, то для этого есть вторая, третья… схемы?
                                                                            А если скомпрометированы 2 пароля?
                                                                            • 0
                                                                              В схеме есть параметр, определяющий необходимую сложность. Если пароль скомпрометирован, увеличиваем на 1. Из-за этого за десять лет использования схемы некоторые пароли значительно выросли, поэтому мне недавно пришлось модифицировать её и сменить все пароли на всех сайтах.
                                                                            • +3
                                                                              Это известный подход, но нельзя сказать, что он чем-то значительно лучше менеджера паролей. Лучше он разве что тем, что не нужен менеджер паролей, и нет проблем с синхронизацией.

                                                                              создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли

                                                                              Тут то же самое: вы не помните пароли, вы помните схему их формирования.

                                                                              Подобная методика имеет ряд известных недостатков перед менеджерами паролей. Например, сложно или невозможно подобрать схему, которая подошла бы сразу под все ограничения всех сервисов. Или невозможно хранить пароли, которые вы не можете формировать сами. Невозможно хранить дополнительную информацию, хотя бы тот же логин. Невозможно хранить более одного пароля для сайта. Если схема формирования пароля не очень сильная, то компрометация одного из паролей может привести к компрометации всех.

                                                                              В общем, на мой взгляд, такой подход можно использовать в дополнение к менеджеру паролей, а не вместо.

                                                                              С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы

                                                                              Очень спорно, голова тоже не очень надежное место, особенно для редкоиспользуемых паролей, они просто забываются между использованиями. Парольные менеджеры обычно могут предоставить хорошую криптографию и ту же многофакторность, плюс можно самостоятельно окружить его дополнительными уровнями защиты в зависимости от уровня паранойи и позаботиться о хорошем мастер-пароле.
                                                                              • +1
                                                                                Если только схему не легко вычислить при знании домена/названия сервиса и пароля для этого сервиса (та самая компроментация какого-то одного сервиса).
                                                                                А если схему вычислить сложно, то тогда скорее всего сложно и пароль по ней воспроизвести каждый раз, входя в сервис.
                                                                            • 0
                                                                              Есть по СМС, но во-первых, это не безопасно (склонировать вашу симкарту стоит в районе 15к руб), во-вторых, если вы окажитесь вне зоны действия сети, то в аккаунт войти не сможете.
                                                                              Приложение не обязательно использовать именно гугловское, там открытый стандарт, который много кто поддерживает. А ключи можно забэкапить (на бумажку или файлом, если есть рут).
                                                                              • +2
                                                                                Ага, спасибо, я уже распечатал себе список резервных ключей и положил в укромное место.
                                                                            • +4
                                                                              Шёл вроде бы 2009 год, я поехал в Питер, а денег на счету не хватило для активации роуминга. Пытался пополнить, но единственным вариантом было «получить смс с кодом», чего я сделать не мог. Пришлось просить других людей. Да и сейчас живу в яме, где сигнал сотовой связи время от времени пропадает, если телефон не у окна. По этим причинам очень не люблю, когда для какого-то действия нужно дождаться смс. Понятно, что сейчас есть приложения для подтверждения. Но нет, просто эмоционально 2FA мне не нравится, я считаю что мои пароли уникальны и достаточно безопасны.
                                                                              • +4
                                                                                У знакомых ребят есть дача в относительно ближнем подмосковье, но относительно далеко (километров 5) от крупных населённых пунктов. Есть вполне приличный мобильный инет… На оплату ими чего-ли с карты без слёз взглянешь. Смс то не приходит, то приходит с опозданием на пол-часа… час, когда код уже не валидный. Да, с банком лучше перестраховаться, но при работе с почтой такой мазохизм не оправдан. Ну и с доступом в при дальних разъездах тоже могут быть проблемы да.
                                                                                • +2
                                                                                  Аналогичная ситуация: на работе в моем углу сотовая связь почти не ловит (ирония в том, что в этом же здании располагается радиочастотный центр :D), поэтому получать СМС с двухфакторкой очень неудобно. Приходится тупо выходить из помещения, ждать пока мобильник поймает сигнал, примет СМС и возвращаться обратно.
                                                                                  Еще одна история в копилку минусов двухфакторки: у одного хостера включил, но СМС с кодом не приходило. Обращался к оператору — безрезультатно. В итоге позвонил хостеру, и девушка безо всяких дополнительных вопросов мне просто двухфакторку отключила. Вот она и безопасность…
                                                                                  • +2
                                                                                    У меня обычно вообще нет сотового телефона. Есть обычно смартфон без сим-карты, либо планшет без гнезда для таковой вообще. Плюс мобильный интернет. Для всего хватает! Несколько лет был телефон, года полтора назад потерял его, и до сих про ни разу(!) не понадобился. Всякий раз при упоминании всех этих двухфакторных авторизаций как чего-то само собой разумеющегося испытываю сложные противоречивые чувства: с одной стороны, с пониманием отношусь к тому, что никого не заботят ничтожные доли процента таких вот, как я, архозавров-извращенцев; с другой стороны, горите в аду, суки, про Microsoft tax вот любят бухтеть, а на фактический «сотовый налог» чё-то пофиг всем…
                                                                                    • 0
                                                                                      Трояну, например, насрать на уникальность и сложность пароля. Он его просто утянет как есть. Пароли сейчас наверно нет смысла подбирать прямым перебором, по хешам пароли ломаются быстрее вне зависимости от величины но хеш теперь солят, правда ещё не везде.
                                                                                    • +1

                                                                                      Если большинство угонщиков аккаунтов действуют по одной схеме, может будет лучше при совершении подобных действий принимать какие-то меры, там лишний раз проверить телефон у пользователя или ещё что-нибудь. А так это похоже на то, что мы знаем, что аккаунт угнали, но делать ничего не будем с этим. Собственно, судя по отзывам и появляющимся даже на гиктаймсе статьям, у Гугла это официальная позиция. Им наплевать на угоны и пользователей. А сейчас у них с одной стороны какая-то дикая параноя, раньше использовал почтовые ящики на gmail, чтобы с серверов уведомления себе присылать, потом, в какой-то момент, уведомления приходить перестали, т.к. Гугл ужесточил какие-то настройки, и надо обязательно проходить доп. проверки, типа номера телефона. Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.
                                                                                      И всё это на фоне того, что люди предоставляют всю мыслимую и немыслимую информацию о своём аккаунте, который угнали, а гугл их шлёт лесом

                                                                                      • +1
                                                                                        Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.

                                                                                        Я уже тоже к этому прихожу. А на чём делали?
                                                                                      • +2
                                                                                        В поведении злоумышленника в представленной схеме мало необычного. Самое необычное поведение — удаление только что отправленных писем. Но на этом этапе бить тревогу уже поздновато.
                                                                                      • 0

                                                                                        Попробовал включить 2FA, а мне предложили указать телефон и смс или звонок. OTP все?

                                                                                        • +2
                                                                                          Нет. Это на тот случай если будет потерян телефон с программой.
                                                                                          Для аутентификатора Гугла (ОТР), нужно чтобы просто время точное было на телефоне. Если про вход на сервисы Гугл, то даже при утере телефона можно зайти через «список резервных кодов» или смс.
                                                                                          • 0

                                                                                            Нет, это ни на какой-то там случай, это тупо потому, что гугл хочет получить номер Вашего телефона. После ввода и верификации номера телефона открывается возможность использовать вместо номера телефона (звонок/смс) другие методы, включая через приложения для TOTP. А на случай утери телефона/программы — скачиваются одноразовые коды (которые надо положить в менеджер паролей).

                                                                                        • +4
                                                                                          Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

                                                                                          Такое можно утверждать только если бы было сказано «менее 0.999(9)%». Ведь даже 1% от 1 млрд (+ 1 человек) уже больше 10 млн, а для «менее 10%» верхняя граница выше 100 млн. Таким образом автор статьи намеренно создает окрас «это бесполезно» имея на руках относительно нейтральные неполные данные.
                                                                                          • 0
                                                                                            Речь исключительно в формулировке на странице Google: Google пишет «миллионы», а не «десятки миллионов». Понятно, что менее 10% — это менее 100 млн, но почему-то выбрана именно формулировка с «миллионами». По поводу «бесполезно» — не имел этого ввиду и никоим образом не пытался сформировать такое мнение у читателя.
                                                                                            • +2
                                                                                              Я имел в виду, что если все аудитория составляет 1 000 000 001 человек, то промежуток [0%;10%) от этого числа = [0;100 000 000]. А формулировка уже в этом случае выбирается в зависимости от желания маркетолога. Например, есть данные, что «менее 10% населения Австрии имеют высшее образование», но в реальности процент составляет 9.9%, это около 850 тысяч высококлассных специалистов.
                                                                                              • 0
                                                                                                Лично для меня миллионы означает от 3млн до 1млрд… Формулировка иногда зависит от толщины маркетологов и может гугл немного по другому на это смотрит. Например: Уау!!! Это видео!!! просмотрело более!!! 13500 раз!!! А для гугл на такое даже не обращает внимание.
                                                                                            • +7
                                                                                              1) Нет выбора — сервисом без указания номера телефона просто не начнёшь пользоваться.
                                                                                              2) Корпорация надо все больше и больше данных. Им уже давно мало мой IP и куки. Хотите 2FA? Но вторым фактором может быть контрольное слово, второй почтовый ящик и т.д.
                                                                                              3) Если не приходит SMS — ничего не сделаешь.
                                                                                              4) Наличие уязвимости SS7 не делает защиту абсолютной, как многие полагают в финансовой сфере.
                                                                                              5) Если я меняю номер телефона, то меня ждёт куча геморроя, если у меня нет старого.

                                                                                              Я как-то для одного сайта сделал почту через Яндекс ПДД. Через 5 лет надо было ящик добавить. По бумажкам нашел реквизиты для доступа, но пароль не подошёл. Однако есть ящик почты с которого делали. Но… номера телефона уже давно нет. И всё встало. Вы пробовали когда-нибудь вообще обращаться в саппорт яндекса? Нет ни телефонов, ни почты тематической, форма для техподдержки зарыта где-то в глубинах фака и когда я через неё отправил данные — мне никто не ответил до сих пор. У гугла — аналогичная фигня. С таким подходом и отношением к пользователям — оно и не удивительно, что народ нафиг посылает весь этот геморой.

                                                                                              Я за то, чтобы оставлять контроль и ответственность на стороне пользователя. Есть мои логин/пароль — я сам должен заботиться об их сохранности. Если я сочту нужным включить 2FA — включу, если нет — не буду. Но так, как есть это сейчас — навязывание — так быть не должно.
                                                                                              • 0
                                                                                                > Если не приходит SMS — ничего не сделаешь.

                                                                                                SMS? Вообще-то мне казалось, что основной способ это Google Authentificator App.
                                                                                                • 0
                                                                                                  Я имел ввиду SMS.
                                                                                                  Но привязка к приложению, которое привязывается к конкретному устройству меня тоже не сильно радует.
                                                                                                  • 0
                                                                                                    Но ведь в этом и суть второго фактора — подтвердить владение устройством. А аварийным каналом является СМС или список предварительно сгенерированных одноразовых паролей.
                                                                                                • +3
                                                                                                  Плюсовать не могу, но горячо поддерживаю. В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду. После продолжительной борьбы с роботами (жалко было бросать такой ящик!) вышел-таки на человека в поддержке, но человек этот, вместо того, чтобы сверить информацию, доступную только реальному владельцу ящика, запросил скан моего паспорта(!), при том, что никаких паспортных данных я 17 лет назад яндексу не давал, и с чем он их собрался сверять — совершенно непонятно. Гугл каждый раз при пересечении границы блокирует доступ по pop3, и шлёт грозные письма «Someone has your password». Хвала аллаху, пока он позволяет вернуть доступ через web, но я просто-таки спинным мозгом чувствую, что скоро эту «вольницу» и они прикроют.
                                                                                                  Вообще, расстраивает тенденция железной рукой загонять всех в рай. Сделали новую секурную фичу — предложите её юзеру. Даже сделайте включённой по умолчанию… Но оставьте возможность и выключить! Жизнь — она сложнее любых, наперёд продуманных, схем!
                                                                                                  • 0
                                                                                                    В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду.

                                                                                                    Вот поэтому я купил себе домен и сделал «свою» почту, которая просто где-то хостится.
                                                                                                    Следующий этап, до которого я уже созрел — свой почтовый сервер, возможно в виде решения на своём компе. Во всей этой схеме меня расстраивает только зависимость от домена. Покупка на 1-2 года только, я бы с удовольствем выкупил его лет на 20, как-нибудь юридически это оформить и можно про это направление уверенно забыть или хотя бы не думать )))
                                                                                                    • 0

                                                                                                      У меня лет 20 свой почтовый сервер дома, и я честно скажу — домен это мелочь. Помимо домена нужен статический IP (причём крайне желательно — не замеченный ранее в рассылке спама), нужен сервер не на винде (и нужно запретить файрволом виндовым машинами в локалке отправлять что-то в инет на порты SMTP) — иначе вирусы рано или поздно начнут спамить с вашего IP, нужно настроить DNS (и не только MX, но и SPF, обратный резолвинг IP и, нередко, ещё кучку всего), и, не смотря на все эти усилия, периодически этот IP всё-равно будет попадать в разные чёрно-серые списки и удаляться из них нужно будет самостоятельно, а крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее. Ну и спам-фильтр тоже свой нужен. Я за столько лет привык, но если бы надо было заниматься всем этим с нуля сейчас — не факт, что я бы на это решился. Из плюсов — посторонним корпорациям сложно читать мою почту или лишить меня доступа к ней (сложно а не невозможно потому, что не шифрованные PGP письма может читать мой провайдер, а лишить доступа можно отобрав домен), ну и я вижу ушло от меня письмо на самом деле, или пока болтается в исходящей очереди qmail.

                                                                                                      • 0
                                                                                                        Ну, к техническим моментам я готов, в первый раз даже интересно будет) А вот:
                                                                                                        крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее

                                                                                                        это может быть проблемой. У меня сейчас-то некоторые сервесы иногда не принимают мой e-mail, т.е. чисто адрес, наверное, валидацию не проходит «по названию».
                                                                                                        • 0
                                                                                                          А вы сами всё руками настраивали? Просто вверху вон предлагают iRedMail — я посмотрел, вроде как всё что нужно в одном пакете, вполне по силам.
                                                                                                        • 0
                                                                                                          Есть зоны, где можно купить навсегда, .ro например.
                                                                                                          • 0
                                                                                                            Слышал. Но там у них вроде правила хитрые, в которых эта «навсегда» может быть и отозвано)
                                                                                                            • 0
                                                                                                              Нет такой зоны, где бы не отозвали, кроме разве что .onion или других основанных на криптографии, но они, по понятным причинам, с обычным интернетом взаимодействовать не могут.
                                                                                                    • +2
                                                                                                      Перестал пользоваться двухфакторной аутентификацией просто потому, что SMS либо не приходили вовсе, либо приходили с неприемлемой задержкой (более 20-30 минут).

                                                                                                      Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.

                                                                                                      P.S. Для меня лучший менеджер паролей это две маленькие записные книги.