Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 48
Молодцы гугловцы, радуют нас все новыми удобными штучками :)
А толку, проблемы с восстановлением остаются. Хотя у них в форуме год назад предлагалось
Вместо альтернативного вопроса — неизменяемый мастер-пароль к учетке. Хоть обкрадитесь. Даже если взломщик завладеет и этим паролем — все равно можно бодаться и взывать к сервису гугла.
Также как вариант может быть восстановление доступа с одновременным введением нового основного пароля только по форме, в которой спрашивается только введенный при регистрации или при первом вводе для уже существующих ящиков и никогда не могущий быть изменен ответ на альтернативный вопрос.
Вместо так называемого альтернативного вопроса может быть только 1 вариант в виде «дополнительного пароля», который должен быть не менее, например, 20 символов и сложным. Украли основной пароль, сам забыл — ввел «дополнительный пароль», тут же сменил основной пароль, и всё: не ждешь сутки, не «рожаешь» ответы на множество вопросов. Украли еще раз — нет повода беспокоиться: хоть каждый день будут красть. Не тревожишь суппорт, потому как ситуации разные. При этом человек уверен в том, что его «дополнительный пароль» — серьезен и находится в «надежном месте», и спит спокойно, а не переживает, сможет правильно ответить или нет на группу вопросов.
Вместо альтернативного вопроса — неизменяемый мастер-пароль к учетке. Хоть обкрадитесь. Даже если взломщик завладеет и этим паролем — все равно можно бодаться и взывать к сервису гугла.
Вот Google — это отличная компания. Всё для нас — пользователей. Молодцы. Всё лучше и лучше!
Эх, а отлинковать забаненый аккаунт на youtube до сих пор нельзя. Мучаюсь ;(
Обожаю гугл за то, что я всегда уверен в безопасности своих данных. Даже когда через шифрованные системы оплачиваю что-то — такой уверенности нет.
Это был сарказм?
Это подмена понятий. Гугл думает за нас -> Гугл думает о нас )
Подозреваю, что с выходом ГуглоОС проблем с восстановлением акка будет на порядок больше, потому что
1. Возможность изменения параметров аккаунта с недоверенных компов
2. Единый пароль на все сервисы
3. Неэффективная система возврата аккаунта
4. Увеличение количества пользователей, в том числе слабо подкованных в вопросах безопасности.
PS У кого есть сомнения, почитайте их форум
www.google.pl/support/forum/p/gmail/label?lid=5696deaf7667ace6&hl=ru
Подозреваю, что с выходом ГуглоОС проблем с восстановлением акка будет на порядок больше, потому что
1. Возможность изменения параметров аккаунта с недоверенных компов
2. Единый пароль на все сервисы
3. Неэффективная система возврата аккаунта
4. Увеличение количества пользователей, в том числе слабо подкованных в вопросах безопасности.
PS У кого есть сомнения, почитайте их форум
www.google.pl/support/forum/p/gmail/label?lid=5696deaf7667ace6&hl=ru
хорошая функция.
У Facebook'a такая же есть, только в моем случае немного проглючила: пользусь своим аккаунтом в москве, когда был в бостоне на каникулах, там зашел один раз -он попросил подтвердить что я являюсь пользователем данного аккаунта и нахожусь в бельгии.
У Facebook'a такая же есть, только в моем случае немного проглючила: пользусь своим аккаунтом в москве, когда был в бостоне на каникулах, там зашел один раз -он попросил подтвердить что я являюсь пользователем данного аккаунта и нахожусь в бельгии.
под подозрительной активностью понимается вход с айпи других стран?
Да.
а если пароль узнал кто-то из моей страны, города, выходит через пять минут или параллельно в тоже время, об этом ничего не сообщиться?
Очевидно, что нет, поскольку невозможно определить, какие логины подозрительны.
причем здесь логины, связка пароль логин одна ведь, а вот если на нее одновременно заходят с двух айпи, очевидно же что что-то здесь не то.
Логином я называю не имя учётной записи, а процедуру аутентификации. Но вы правы, одновременная активность одной учётной записи с разных IP выглядит подозрительной и в пределах одной страны, написал об этом их продакт-менеджеру.
ну вы это, пишите если нововведение будет реализовано, интересно же.)
Пришёл примерно такой ответ, ничего конкретного:
[…] Когда наши автоматизированные системы обнаруживают подозрительную активность учётной записи, мы хотим предупредить пользователей как можно быстрее и предоставлять нужные им информацию и ресурсы. Иногда модель активности явно подозрительна, а в других случаях подозрительность активности становится очевидной только после того, как пройдёт время. Мы знаем, что наша система определения не идеальна, но мы считаем, что это важный шаг. Например, в случае обнаружения подозрительного IP-адреса, действующего на нескольких учётных записях, мы можем быстро принять меры и предупредить законных владельцев этих учётных записей. Мы постоянно работаем над улучшением наших систем обнаружения и оповещения.
А если у меня на ноутбуке и телефоне почта автоматически проверяется? Два разных айпи, но при это все в порядке :)
Не очевидно. У меня вот, например плагин к хрому проверяет почту одновременно и на домашнем и на рабочем компе. Gmail всегда внизу экрана пишет, что в данные момент вход произведен и с другого ip.
Так что я могу быть в системе одновременно с 2-х разных ip разных провайдеров, и эти компы могут находиться за пару-тройку десятков км друг от друга.
Так что я могу быть в системе одновременно с 2-х разных ip разных провайдеров, и эти компы могут находиться за пару-тройку десятков км друг от друга.
Если вы сидите с клиента на телефоне, домашнего компа и на работе — это ведь три разных IP, представьте, как бы вы мучались.
> На мой взгляд, функция полезная, но не совсем понятно, почему уведомления появляются именно в Dashboard
Не только на Dashboard. Если смотреть скриншот в их блоге, то там видно как сообщение появилось прямо под строкой поиска. Подозреваю, что для этого должна быть включена история поиска.
Не только на Dashboard. Если смотреть скриншот в их блоге, то там видно как сообщение появилось прямо под строкой поиска. Подозреваю, что для этого должна быть включена история поиска.
Может я конечно попустил, но давал ли гугл офиц. объяснение что случилось с гмайл когда полтора месяца назад появлялись логи с чужими айпи адресами или как то само собой все замялось?
Да, я, как и большинство, действительно рад нововведению, но! В свете последних событий, произошедших со мной, заголовок данной статьи выглядит как насмешка и издевательство. 30 июня у меня украли доступ к аккаунту google: на мой сотовый пришла смс с кодом (который я не запрашивал), после чего войти в аккаунт я уже не мог. С кем не бывает, — подобрали пароль, или на контрольный вопрос ответ угадали — подумал я и воспользовался формой восстановления пароля. На резервный ящик пришло письмо со ссылкой, которая… открывала страницу с 404 ошибкой! Дальнейшие попытки выслать ссылку не давали вообще никакого результата — тишина, и все. Дальше — веселее. Есть форма для того, чтобы вернуть аккаунт владельцу. Указал все данные (адресаты, с кем общаюсь часто, дату регистрации, море разной другой инфы), – работ гугла мне не поверил, и пароль не отдал. В итоге форму заполнял несколько раз, часов через 8 гугл поверил-таки и выслал ссылку на сброс пароля. Я, радостный, получил доступ к своему аккаунту.
Через час приходит неожиданно смс. Опять. Аккаунт взломали. Опять. Легко и непринужденно.
После этого формы восстановления доступа не дают вообще никакого результата! Заполняю, жду письма — тишина.
Когда у меня был доступ, я поменял и пароль, и контрольный вопрос, и номер телефона. Это просто не помогло, увели аккаунт второй раз за совсем короткое время. Также я успел записать айпишники, с которых был осуществлен вход не мной — теперь они находятся во владении Отдела-К (обратился к знакомым сразу же, будем писать заявление).
Аккаунту больше 5 лет, там и почта, и календарь, и пароли, и adsense (!) и многое другое.
Вопрос, собственно, следующий. Что за дырка такая присутствует (судя по форуму поддержки гугла, ломают стабильно и многих пользователей)? Пользуюсь исключительно MacOSX, так что про вирусы на рабочей машине можно даже не думать.
Вопрос второй — как же, блин, вернуть мой, мой главный и такой важный аккаунт с кучей личных данных и рабочим adsense, если все автоматические формы не работают абсолютно? То есть заполняй, не заполняй — тишина в ответ, даже нет письма «извините, мы вам не верим» — просто тишина.
С гуглом связаться невозможно, так, может быть, кто-то из сотрудников сможет ответить здесь?
Извините за столь длинный личный комментарий, но других способов связаться с Google я просто не вижу.
Через час приходит неожиданно смс. Опять. Аккаунт взломали. Опять. Легко и непринужденно.
После этого формы восстановления доступа не дают вообще никакого результата! Заполняю, жду письма — тишина.
Когда у меня был доступ, я поменял и пароль, и контрольный вопрос, и номер телефона. Это просто не помогло, увели аккаунт второй раз за совсем короткое время. Также я успел записать айпишники, с которых был осуществлен вход не мной — теперь они находятся во владении Отдела-К (обратился к знакомым сразу же, будем писать заявление).
Аккаунту больше 5 лет, там и почта, и календарь, и пароли, и adsense (!) и многое другое.
Вопрос, собственно, следующий. Что за дырка такая присутствует (судя по форуму поддержки гугла, ломают стабильно и многих пользователей)? Пользуюсь исключительно MacOSX, так что про вирусы на рабочей машине можно даже не думать.
Вопрос второй — как же, блин, вернуть мой, мой главный и такой важный аккаунт с кучей личных данных и рабочим adsense, если все автоматические формы не работают абсолютно? То есть заполняй, не заполняй — тишина в ответ, даже нет письма «извините, мы вам не верим» — просто тишина.
С гуглом связаться невозможно, так, может быть, кто-то из сотрудников сможет ответить здесь?
Извините за столь длинный личный комментарий, но других способов связаться с Google я просто не вижу.
>>Пользуюсь исключительно MacOSX, так что про вирусы на рабочей машине можно даже не думать.
а что, под макос перестали вирусы писать?
а что, под макос перестали вирусы писать?
Вариант в лоб… на вашем компьютере, с которого вы проводили попытки восстановления, сидит троян, написанный лично для вас, он же и сливает всю необходимую информацию, об этом говорит скорость и повторный захват аккаунта. Решение — на время восстановления работайте хоть в той же ubuntu запущенной с компакт диска или, для параноиков, с другого компьютера.
Этот вариант (немного футуристичный, но допустимый — писать троян под мак специально для моего ящика, который не представляет стороннему человеку особого интереса?) я тоже не исключаю, будем проверять.
При этом главная проблема остается неразрешенной. Google верит взломщику больше, чем мне, законному владельцу — и не желает возвращать аккаунт (даже сделать минимальные шаги), просто отмалчиваясь. То есть представьте, существуют два человека, имеющие пароль к аккаунту. Но один из них — владелец — знает об аккаунте намного больше (примерную дату регистрации, все использованные ранее пароли...), владеет телефоном, дополнительными адресами для восстановления, — при этом имеет меньшее преимущество на взгляд робота.
При этом главная проблема остается неразрешенной. Google верит взломщику больше, чем мне, законному владельцу — и не желает возвращать аккаунт (даже сделать минимальные шаги), просто отмалчиваясь. То есть представьте, существуют два человека, имеющие пароль к аккаунту. Но один из них — владелец — знает об аккаунте намного больше (примерную дату регистрации, все использованные ранее пароли...), владеет телефоном, дополнительными адресами для восстановления, — при этом имеет меньшее преимущество на взгляд робота.
Нескромный вопрос — это адрес adexizh@gmail.com, который Вы засветили полгода назад?
Почему нескромный?)
Нет, не этот ящик.
А что Вы имеете в виду под «засветили» – я свои ящики не скрываю в принципе, они активно используются для работы. Или Вы о чем-то другом?
Нет, не этот ящик.
А что Вы имеете в виду под «засветили» – я свои ящики не скрываю в принципе, они активно используются для работы. Или Вы о чем-то другом?
Тогда все нормально. Просто действительно важные акки не стоит кидать где попало. Как вариант, может вы заходили на похищенный акк проверить почту с чужого компа, подбитого кейлогером или иной уязвимостью?
Тоже уже думал об этом, но смотрите: да, я заходил с другого компьютера. Пароль угнать могли.
Дальше же я восстановил доступ, со своего уже компьютера, и входил только с него, поменял все данные (пароль, телефон, вопрос контрольный) – а через час пароль опять был у злодея.
Так что либо мак виноват, либо гугл. Два столпа безопасности )
Дальше же я восстановил доступ, со своего уже компьютера, и входил только с него, поменял все данные (пароль, телефон, вопрос контрольный) – а через час пароль опять был у злодея.
Так что либо мак виноват, либо гугл. Два столпа безопасности )
А вы уверенны что у вашей sim-карты нету «легального» клона? Стоит сходить к оператору и спросить инфу.
мне теперь если лететь в другу страну надо предупреждать гуглопочту о переезде, чтобы не волновалась?
Что-то они не того накрутили, либо готовится интересное для абонентов мегафона: в то время, как все остальные сайты работают нормально и определяют IP как 83.149.*.* (внешние IP-адреса мегафона), гугловские сервисы со вчерашнего вечера вырубаются с выхлопом «Error 503 Service Unavailable from 10.216.*.*»(мой IP-адрес в мегафоновской подсети).
Кто-нибудь знает с чем это связано? А то ни один гулосервис не хочет работать, даже поиск забанили…
Кто-нибудь знает с чем это связано? А то ни один гулосервис не хочет работать, даже поиск забанили…
по всей видимости проблемы с nat'ом и маршрутизацией у мегафона. думаю следует написать/позвонить им в саппорт.
Восстановили нормальный режим где-то через час после комментария, без дополнительных импульсов.
Настройки вряд ли могли слететь сами по себе, тем более конкретно для гугла и не затронув остальные сайты. А давать доступ к внутренней подсети имеет смысл для интеграции гугла — это может быть геолокация повышенной точности (если, например, IP выдаётся в зависимости от соты) или перенаправление гуглотрафика по отдельному маршруту (этот вариант представляется мне более вероятным — гуглу же надо чем-то отвечать на яндекс-карты с бесплатным трафиком, 0.facebook.com, безлимитные mail.ru и sports.ru по подпискам и другие подобные предложения).
Настройки вряд ли могли слететь сами по себе, тем более конкретно для гугла и не затронув остальные сайты. А давать доступ к внутренней подсети имеет смысл для интеграции гугла — это может быть геолокация повышенной точности (если, например, IP выдаётся в зависимости от соты) или перенаправление гуглотрафика по отдельному маршруту (этот вариант представляется мне более вероятным — гуглу же надо чем-то отвечать на яндекс-карты с бесплатным трафиком, 0.facebook.com, безлимитные mail.ru и sports.ru по подпискам и другие подобные предложения).
недавно ломанули gmail аккаунт (сам виноват), при этом нигде никаких оповещений, несмотря на то что местоположение ИП резко поменялся с «Россия» на «США» причем в то время когда я обычно почтой вообще не пользуюсь… или чето не сработало, или они думают что я из России в США за пару часов переметнутся смог?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Улучшена защита учётных записей пользователей Google