Comments 25
>Что необходимо сделать, чтобы вашу учетную запись Google не украли

Я тут затеял проверку заведенных мной за прошедшие годы гуглевских учеток…
Итог — три штуки, как выяснилось заблокированы безвозвратно, поскольку к телефону я их не привязывал, и сейчас корпорация добра сообщает «мы тут вас защитили, а теперь давайте ваш телефон!»
Вся /цензура/ суть этой «защиты» — мы защитим вас от желающих угнать аккаун, отобрав аккаунт первыми.
Дивный новый мир /цензура/.
Там кстати вроде нельзя отвязать телефон и использовать только токен, или я не смог настроить…

В связи с последними действиями США (в частности, баном Huawei), а также постоянно усиливающимся шпионажем за действиями пользователей, потихоньку вообще начал уходить от сервисов Google.


Постепенно настраиваю собственный почтовый сервер, чтобы никто не читал мою почту и не продавал рекламодателям информацию о каждом моем движении, покупке и вздохе.


Если не взлетит идея со своим почтовым сервером, перейду на какой-нибудь от третьей стороны, возможно даже платный.

Поосторожней с платными. Опыт крыма и санкций показал, что компании из США в первую очередь отрубили все платные услуги тем, кто казался им крымчанином. При этом сама гуглопочта там вроде бы работает.
Если не взлетит идея со своим почтовым сервером, приложите чуть больше усилий, чтобы она взлетела :)
Я около десяти лет пользуюсь своим сервером, и доволен как слон. А какую-то забытую почту с гугла забирает fetchmail и кладёт в мой собственный ящик.
Главное иметь постоянный айпишник, и очень желательно запись PTR.
Хотел бы, чтоб в дебрях настроек аккаунта гугла была кнопка «Я клянусь на крови, что понимаю, что делаю. Я принимаю все риски. Отключите это дерьмо».
Ибо неимоверно раздражает. И да, свой телефон я сообщать не хочу. И резервный адрес тоже.
вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили

Сириусли? А если оно в другой стране осталось, например? Было как-то раз такое, ssh выручил.

Тогда все будут нажимать эту кнопку. И смысла от всех защитных 0

Ну, все — не будут, если засунуть подальше. Чтоб только самые терпеливые нашли.
Работал когда-то давно ИТ-инструктором. Во время лабораторных работ поднимается рука, подхожу. Студент говорит, что у него окно ошибки появилось, что делать? «Где оно?» — спрашиваю. «Закрыл» — говорит. «А что там было написано?». «Да я не посмотрел...»
Кнопка, говорите…
Практически перестал пользоваться гуглопочтой, потому что часто езжу за границу, где доступ к почте получить не могу, благодаря гугловской «бдительности». К тому же почтовый ящик забит спамом о «подозрительной активности». Оставил ящик только для старых забытых аккаунтов.

Подозреваю что Гуглу просто стало накладно поддерживать бесплатную почту для такого количества пользователей и он решил немного «проредить ряды» :)

А ведь когда-то всё так хорошо начиналось…
Так ведь у Гугла есть огромное количество платных пользователей. И в случае массовых взломов народ может задуматься — не уйти ли к конкурентам…
Немного ниже в ленте статья с историей: почему привязать телефон к почте — не самая лучшая идея.
Если в крадце- крадут симку и угоняют почту. А дальше все учетки, которые завязаны на эту почту и на туже сим.
2х факторная авторизация на то и 2х факторная. Оба способа авторизации должны быть не связаны, а если украв один из факторов — можно взломать второй, то такая защита мало эффективна.
В общем надо хорошенько задуматься над привязкой номера, в некоторых случаях (не в целом, а в частностях) от этого может быть больше вреда, чем пользы.

Это не двухфакторная, это по сути полуфакторная. Но с другой стороны массовый пользователь не готов к настоящей двухфакторной и при невозможности авторизации из-за отказа настоящего второго фактора он скорее уйдет к провайдеру услуги с 0,5-факторной, ведь там удобнее

Заметка переводчика в конце обобщает весь смысл:


Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям.

Как человек, который работал на Гугл, скажу: как минимум внутри авторизация по физическим крипто-токенам на каждый чих. Если привязываешь аппарат, то еще и по нему.

Соседство с историей про угон почты через клон симки (https://m.habr.com/ru/post/453286) делает эти советы похожими на издевательство. И ладно бы это был первый случай, но у угонов симок многолетняя история.
Привязывать второй фактор к настолько ненадежному каналу — дилетанство. Советовать такое — вредительство.

Ну так я в конце и написал — только токены, только хардкор.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Мой отзыв про содержание оригинальной статьи, к вашим примечаниями никаких претензий.

TOTP на смартфоне (естественно зашифрованном) и хранение резервных кодов в менеджере паролей — лучше чем смс.

SMS только в качестве кодов в дополнение к паролю — это еще нормально, но вот в качестве средства сброса пароля — ужас. В таких сервисах (как в пресловутой гугл почте) лучше номер телефона не давать вообще.

использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защиты
Но ведь выше, на картинке, метод Security key предотвратил 100% атак. Это не TOTP случайно?
Нет. В случае с Google это FIDO U2F. Google брендирует токены и продает их под маркой Titan. Для 2ФА в операционных систтемах и веб-приложениях стоит использовать криптографические токены. А что TOTP, что HOTP постепенно отмирают…
Хм, почему это отмирают? Наоборот, всё больше юзеров ставят себе приложения-аутентификаторы и находят их удобными.
Я так понимаю, что вся соль об этом в этом куске?
Готовьтесь к закату одноразовых паролей (OTP). Уязвимости, присущие OTP, становятся всё более очевидными, в условиях, когда киберпреступники используют социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации этих средств аутентификации.
То есть, кроме того, чтобы набрутить пароль, им требуется очень сильно напрячься и «использовать социальную инженерию, клонирование смартфонов и вредоносное ПО для компрометации».
По-моему, достаточно хорошее препятствие на пути к моему аккаунту.
Там даже чуть ниже по отчёту такие строки есть:
Например, при 2ФА «пароль + смартфон» злоумышленник может выполнить аутентификацию подсмотрев пароль пользователя и сделав точную программную копию его смартфона. А это намного сложнее, чем просто украсть пароль.
И я с этим согласен :)
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

1 January 1994

Location

Россия

Employees

101–200 employees

Registered

14 December 2011