Комментарии 25
>Что необходимо сделать, чтобы вашу учетную запись Google не украли
Я тут затеял проверку заведенных мной за прошедшие годы гуглевских учеток…
Итог — три штуки, как выяснилось заблокированы безвозвратно, поскольку к телефону я их не привязывал, и сейчас корпорация добра сообщает «мы тут вас защитили, а теперь давайте ваш телефон!»
Вся /цензура/ суть этой «защиты» — мы защитим вас от желающих угнать аккаун, отобрав аккаунт первыми.
Дивный новый мир /цензура/.
Я тут затеял проверку заведенных мной за прошедшие годы гуглевских учеток…
Итог — три штуки, как выяснилось заблокированы безвозвратно, поскольку к телефону я их не привязывал, и сейчас корпорация добра сообщает «мы тут вас защитили, а теперь давайте ваш телефон!»
Вся /цензура/ суть этой «защиты» — мы защитим вас от желающих угнать аккаун, отобрав аккаунт первыми.
Дивный новый мир /цензура/.
Там кстати вроде нельзя отвязать телефон и использовать только токен, или я не смог настроить…
В связи с последними действиями США (в частности, баном Huawei), а также постоянно усиливающимся шпионажем за действиями пользователей, потихоньку вообще начал уходить от сервисов Google.
Постепенно настраиваю собственный почтовый сервер, чтобы никто не читал мою почту и не продавал рекламодателям информацию о каждом моем движении, покупке и вздохе.
Если не взлетит идея со своим почтовым сервером, перейду на какой-нибудь от третьей стороны, возможно даже платный.
НЛО прилетело и опубликовало эту надпись здесь
Если не взлетит идея со своим почтовым сервером, приложите чуть больше усилий, чтобы она взлетела :)
Я около десяти лет пользуюсь своим сервером, и доволен как слон. А какую-то забытую почту с гугла забирает fetchmail и кладёт в мой собственный ящик.
Главное иметь постоянный айпишник, и очень желательно запись PTR.
Я около десяти лет пользуюсь своим сервером, и доволен как слон. А какую-то забытую почту с гугла забирает fetchmail и кладёт в мой собственный ящик.
Главное иметь постоянный айпишник, и очень желательно запись PTR.
Хотел бы, чтоб в дебрях настроек аккаунта гугла была кнопка «Я клянусь на крови, что понимаю, что делаю. Я принимаю все риски. Отключите это дерьмо».
Ибо неимоверно раздражает. И да, свой телефон я сообщать не хочу. И резервный адрес тоже.
Сириусли? А если оно в другой стране осталось, например? Было как-то раз такое, ssh выручил.
Ибо неимоверно раздражает. И да, свой телефон я сообщать не хочу. И резервный адрес тоже.
вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили
Сириусли? А если оно в другой стране осталось, например? Было как-то раз такое, ssh выручил.
Тогда все будут нажимать эту кнопку. И смысла от всех защитных 0
Работал когда-то давно ИТ-инструктором. Во время лабораторных работ поднимается рука, подхожу. Студент говорит, что у него окно ошибки появилось, что делать? «Где оно?» — спрашиваю. «Закрыл» — говорит. «А что там было написано?». «Да я не посмотрел...»
Кнопка, говорите…
Кнопка, говорите…
Практически перестал пользоваться гуглопочтой, потому что часто езжу за границу, где доступ к почте получить не могу, благодаря гугловской «бдительности». К тому же почтовый ящик забит спамом о «подозрительной активности». Оставил ящик только для старых забытых аккаунтов.
Подозреваю что Гуглу просто стало накладно поддерживать бесплатную почту для такого количества пользователей и он решил немного «проредить ряды» :)
А ведь когда-то всё так хорошо начиналось…
Подозреваю что Гуглу просто стало накладно поддерживать бесплатную почту для такого количества пользователей и он решил немного «проредить ряды» :)
А ведь когда-то всё так хорошо начиналось…
Немного ниже в ленте статья с историей: почему привязать телефон к почте — не самая лучшая идея.
Если в крадце- крадут симку и угоняют почту. А дальше все учетки, которые завязаны на эту почту и на туже сим.
2х факторная авторизация на то и 2х факторная. Оба способа авторизации должны быть не связаны, а если украв один из факторов — можно взломать второй, то такая защита мало эффективна.
В общем надо хорошенько задуматься над привязкой номера, в некоторых случаях (не в целом, а в частностях) от этого может быть больше вреда, чем пользы.
Если в крадце- крадут симку и угоняют почту. А дальше все учетки, которые завязаны на эту почту и на туже сим.
2х факторная авторизация на то и 2х факторная. Оба способа авторизации должны быть не связаны, а если украв один из факторов — можно взломать второй, то такая защита мало эффективна.
В общем надо хорошенько задуматься над привязкой номера, в некоторых случаях (не в целом, а в частностях) от этого может быть больше вреда, чем пользы.
...
Заметка переводчика в конце обобщает весь смысл:
Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям.
Соседство с историей про угон почты через клон симки (https://m.habr.com/ru/post/453286) делает эти советы похожими на издевательство. И ладно бы это был первый случай, но у угонов симок многолетняя история.
Привязывать второй фактор к настолько ненадежному каналу — дилетанство. Советовать такое — вредительство.
Ну так я в конце и написал — только токены, только хардкор.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Мой отзыв про содержание оригинальной статьи, к вашим примечаниями никаких претензий.
TOTP на смартфоне (естественно зашифрованном) и хранение резервных кодов в менеджере паролей — лучше чем смс.
SMS только в качестве кодов в дополнение к паролю — это еще нормально, но вот в качестве средства сброса пароля — ужас. В таких сервисах (как в пресловутой гугл почте) лучше номер телефона не давать вообще.
TOTP на смартфоне (естественно зашифрованном) и хранение резервных кодов в менеджере паролей — лучше чем смс.
SMS только в качестве кодов в дополнение к паролю — это еще нормально, но вот в качестве средства сброса пароля — ужас. В таких сервисах (как в пресловутой гугл почте) лучше номер телефона не давать вообще.
использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защитыНо ведь выше, на картинке, метод Security key предотвратил 100% атак. Это не TOTP случайно?
Нет. В случае с Google это FIDO U2F. Google брендирует токены и продает их под маркой Titan. Для 2ФА в операционных систтемах и веб-приложениях стоит использовать криптографические токены. А что TOTP, что HOTP постепенно отмирают…
Хм, почему это отмирают? Наоборот, всё больше юзеров ставят себе приложения-аутентификаторы и находят их удобными.
А вот в том отчёте, что я недавно переводил, написано, что отмирают (смайлик)
Я так понимаю, что вся соль об этом в этом куске?
По-моему, достаточно хорошее препятствие на пути к моему аккаунту.
Там даже чуть ниже по отчёту такие строки есть:
Готовьтесь к закату одноразовых паролей (OTP). Уязвимости, присущие OTP, становятся всё более очевидными, в условиях, когда киберпреступники используют социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации этих средств аутентификации.То есть, кроме того, чтобы набрутить пароль, им требуется очень сильно напрячься и «использовать социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации».
По-моему, достаточно хорошее препятствие на пути к моему аккаунту.
Там даже чуть ниже по отчёту такие строки есть:
Например, при 2ФА «пароль + смартфон» злоумышленник может выполнить аутентификацию подсмотрев пароль пользователя и сделав точную программную копию его смартфона. А это намного сложнее, чем просто украсть пароль.И я с этим согласен :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Что необходимо сделать, чтобы вашу учетную запись Google не украли