Comments 99
Я долго боолся. Потом был какой-то срочный момент. Или митинг с клиентом или проблемы на сервере. Мне срочно понадобился логин в облако. тут облако присылает мне на мейл ОТП код. Я иду на мейл и читаю издевательское сообщене. "Мы обнаружили подозрительную активность на Вашем экаунете. В целях Вашей же безопасности Вы должны сообщитьнам свой номер телефона" То что они сделают 100% обязательным это только дело времени. Наверное прочитывали сколько при этом клеинтов они потеряют. очень надеюсь что всех.
[/sarcazm]
myaccount.google.com/lesssecureapps
Я искал и нашёл, когда после 2хмесячного простоя не проверял почту (thunderbird). Подконтрольных аккаунтов у меня штук 8, так вот все заблокировались, и google самовольно отключил pop3. Пришлось искать окончательную ссылку.
зы.Они вводят 2FA, как тогда будет работать простой POP3S?
Так речь не про смс. Да и зачем ваш номер Гуглу? Ладно ещё Яндекс с Мейлом, с ними понятно.
У меня номер поменялся лет 5-6 назад (старый остался, но не основной) и за это время Гугл ни разу не прислал ни единой смски. Всегда авторизация проходила или по одноразовому коду из аутентификатора (приложение где коды меняются раз в минуту), или по нажатию на кнопку "да" на экране смартфона. Без второго фактора я лично считаю любой аккаунт не защищённым.
Причем настроил аутентификатор с меняющимися паролями я до того как указал свой номер, не уверен, но мне кажется что и сейчас так можно. Как минимум вижу такую опцию для другого своего аккаунта.
Так что никто ваш номер не пробует получить, нужен именно телефон как устройство, а не телефон как номер.
Ну вот аутентфикатор. Как вы думаете, этот аутентификатор не знает о Вас больше чем нужно?
Вы, верно, и не поняли даже о каком аутентификаторе речь и что там за технологии.
Если что - у меня authy опенсорсный, у него разрешений примерно ноль. И в нем не только Гугель, но и несколько других аккаунтов, в которых я считаю важным включить 2ФА.
А Как быть в случае утери устройства? Читал как люди ставили Близзардовское приложение-аутентификатор, а потом при утоплении телефона прям максимальный гемор для восстановления доступа.
Ключик то можно было б и сохранить ))
А обычно там все как и с потерей пароля - всякие секретные слова, старые пароли, вспомнить на что был похож пароль, фото с паспортом на фоне своего ковра аккаунта... конкретно у Гугла ещё есть специальные защитные коды - их, если совсем никак, можно и на бумажку выписать.
Номер потом гугл вроде разрешает удалить из аккаунта, по крайней мере 2 года назад я удалил у себя - пришлось сначала номер указать, да...
Номер потом гугл вроде разрешает удалить из аккаунта
Поправка — Google позволит занести 1 в какое-нибудь поле bIsDeleted.
Интересно, если я удалил из почты номер телефона, так как аккаунт шареный (с целью дать доступ к определенным сервисам гугла команде и не использовать при этом персональные аккаунты), то придется тоже номер теперь привязывать обратно?
Или я может неправильно сделал с этим шаренным аккаунтом. Может кто что-то посоветовать?
Так. В статье речь только про Гугл. Нашими сервисами я стараюсь не пользоваться, а если пользуюсь, то уж точно не дорожу паролями.
Только что проверил - моему второму акку предлагают все возможные способы второго фактора. Никакого принуждения к вводу номера. Может быть если я всё-таки включу, то попросит, я не хочу проверять - это общий аккаунт и у других доступ слетит.
Ага. Гугл собирает базу телефонов, йопта.
Не только телефонов. Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно? Ну например если Вы в России то не только Ваш а всех. По некоему санкционному списку стран. А пока конечно можно прикалываться над Эльбрусами.
Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно?
Как-то ограничено государственными границами РФ. И причем здесь это как аргумент против двухэтапки, непонятно.
Пусть у меня карма -30, так я несу чепуху то про толерастов, Роскомнадзор — который у всех в печенках, про режим который на колени ставит рунет.
Зато человек патриот, а я так мимо тут проходил и иногда ляпну в невпопад.
Вот этот камрад скорей всего над блокировками работает и сидит на зарплате. Иначе такую херь про ненавязчивое импортозамещение я понять не могу.
Очень недальновидно завязывать всю свою жизнь на 1 компанию (пусть и хорошую), которая может вас в любой момент забанить без объяснения причин.
MS/Amazon/Яндекс/мэйл тоже может заблокировать без объяснения причин ваш акк, на котором, допустим, работает облако из 100 машин. И что вы предлагаете? Сделать распределенную сеть из нескольких облаков, чтобы в случае гипотетической блокировки в одном облаке "ваша жизнь" продолжалась?
Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.
Т.е процентов для 90 клиентов, учитывая как сильно распространены подобные супер простые и очевидные пароли
И если SMS — спорный второй фактор, то «генерация кодов аутентификатором» — это однозначно не новый фактор — это тупо второй пароль, просто передаётся посоленным и захэшированным.
Пароль — это то, что я знаю. Устройство с аутентификатором — это то, чем я владею. Способ доказывания владения не столь важен: это может быть генерация и последующий ввод кода. Это может быть нажатие кнопки «да это я» на экране. Наконец, это может быть спаривание с ПК по блютусу или втыкание в USB-порт (YubiKey и прочие аппаратные ключи, даже смартфон можно превратить в аппаратный ключ).
Факторы — они не про сиюминутный способ использования, они про весь жизненный цикл. Нельзя один фактор превратить в другой. Хранение пароля в KeePass на компьютере не делает компьютер фактором владения; хранение пароля TOTP в Google Authetnticator в телефоне не делает телефон фактором владения.
Фактором владения может быть железка со сгенерированным внутри неё неизвлекаемым ключом. Потому что этот ключ никогда не был паролем в открытом виде, нигде не отображался и никуда не передавался.
А что гугл потеряет без них? Таких людей единицы и вряд ли они являются активными пользователями его продуктов
Их вполне может быть миллиард
Таких людей может быть и совсем мало, но очень много таких, у кого гугловская учетка есть, и телефон есть, но они, мягко говоря, совсем не горят желанием давать гуглу свой телефон.
А поскольку 99% их коммуникации — это когда другим нужно что-то от них, а не наоборот (люди реально умные и при этом на руководящие позиции не лезут), они чувствуют себя без телефона вполне комфортно и имеют кучу свободного времени, которое инвестируют в себя же.
Дональд Кнут вообще отвечает на письма раз в год, и ничего, живет как-то.
Извините, но я вам не верю :) В то, что они просто никому за пределами своей семьи не дают свой номер телефона, вот в это я верю, сам немало таких людей видел, и вполне их понимаю. Но что у них телефона нет, это какой-то уж слишком жёсткий дауншифтинг, так действительно не бывает.
навигацией, услугами банка, не читают в дороге книги, не смотрят новости, не слушают музыку?
Справедливости ради, телефон для перечисленного не обязателен. Как и для общения. У меня вот телефон есть, но я его таскаю больше по привычке. Навигация в машине есть, а все остальное с компьютера или планшета без сим карты. А книги бумажные предпочитаю. Я бы вообще отказался от мобильного телефона, если бы не привычка некоторых (включая госорганы) использовать его как обязательное условие для получения каких-либо услуг.
Для справки: в Эфиопии живёт более 110 млн человек (чуть меньше, чем в целой России). Да, интернетом пользуются не все (нет возможности), но суть не в этом, а в том, что да, в мире реально может жить миллиард людей без телефона, но пользующихся с интернетом (внизу Vinchi правильно написал, но заминусили). А теперь подумайте, что кроме Эфиопии есть и другие страны с огромным числом людей.
То есть для пользования аккаунтом всем потребуется регулярно менять модели телефонов.
Потому что приложения на каком-то этапе перестают обновляться, но требуют обновлений.Приложений, реализующих генерацию кодов по стандарту TOTP, полно, обновлений они не требуют в обязательном порядке.
Можно даже использовать кнопочный телефон с J2ME при желании.
Google здесь очень большой молодец, что использует стандартный TOTP. В отличие от Яндекса, например, запилившего свой алгоритм, который поддерживается только их собственным аутентификатором.
или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона
Так привязка к номеру телефона или к смартфону?
А собственно какая разница. В любом случае гугл свяжет одно с другим как автор операционной системы, владелец сервисов по пуш-сообщениям, владелец сервисов по авторизации. Ему даже вообще ничего не нужно делать. Чтобы загрузиь прилоение из стора Вам нужно авторизоваться. Потом разработчик приложений логинит Вас через ОТП и вот номер телефона в карамане у гугла связке с Вашей почтой.
то есть, мой к9 отправится на пенсию что ли?
Одни эмоции, в общем.
Максимум, там шифрование и возможность подключить webDav аккаунт.
Жаль, ибо, имхо, один из очень не многих, кто не отправляет лишнего трафика в не нужные направления.
Пароли приложений существуют именно для устаревших приложений, которые не поддерживают 2FA.
Soon we’ll start automatically enrolling users in 2SV if their accounts are appropriately configured.Вот, что говорится в оригинале.
Кто-нибудь может объяснить, как это работает? Вот есть у меня компьютер, на нем линух и тандербёрд, который забирает и отправляет почту. Заглянул сейчас в настройки и не нашел ничего про двухфакторную аутентификацию.
Нет никакого отдельного пароля, конфигцрил, как написано [тут](https://support.google.com/mail/answer/7126229?visit_id=637560815917867424-2268361422&hl=en-GB&rd=1)
Нет никакого отдельного пароляАутентификация по второму фактору у вас настроена? Если нет, то и не удивительно, что работает.
конфигурил, как написано [тут]Чуть ниже на странице есть пункт «I can't sign in to my email client», открыв который вы увидите предложение «Use an app password», о котором sumanai и говорил. При 2fa без app password войти не получается, судя по моей практике. Очень часто пароль приложения нужно генерировать самому, зайдя в веб-версию почтовика (oAuth вход, о котором выше речь, не у всех почтовиков реализован и работает).
Понял, спасибо.
Еще вопрос, если вы не возражаете, вы явно в курсе :)
Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления? А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?
Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления?Да, конечно. «Пароль приложения» можно представить себе как некий сессионный токен, который вы получили после «ручной авторизации». Везде где его будете использовать — будет работать.
А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?Да, и не только через браузер. «Обычного» пароля уже будет недостаточно.
При этом, разные почтовые сервисы по разному реагируют на изменение «обычного» пароля — некоторые сбрасывают все «пароли приложений», а некоторые — нет. Первый вариант более корректный.
Еще нужно учитывать, что злоумышленное ПО может украсть этот «пароль приложения» и может получить доступ к содержимому ящика (зависит от политики сервиса, т.к. проверяются различные технические параметры: регион по IP-адресу, тип устройства, идентификатор устройства).
В настройки аккаунта в Thunderbird загляните и посмотрите тип аутентификации в опциях забора почты (PLAIN — обычный вход по паролю).
Начиная с какой-то версии, Thunderbird, видя адреса Gmail, задействует аутентификацию через гугловский OAuth, в который умеет нативно: открывает фрейм со страницей входа с accounts.google.com. Его после этого видно на странице Apps with access to your account.
если двойную авторизацию не обязательно будет делать , то норм. просто у некоторых только смартфон и второго гаджета не имеется .
«Вы можете этого не осознавать, но пароли — самая большая угроза вашей сетевой безопасности — их легко украсть, их трудно запомнить, а управлять ими утомительно.»
Настолько утомительно, что «Недавно мы запустили нашу новую функцию импорта паролей, которая позволяет людям легко загружать до 1000 паролей за раз с различных сторонних сайтов в наш Менеджер паролей (бесплатно).
Сделав этот шаг, вы можете быть уверены, что все ваши пароли защищены нашей передовой технологией безопасности и конфиденциальности.» — и доверили козлу сторожить в огороде капусту, а волку пасти овец.
А можно ли реально улучшить защиту данных не задействуя смартфоны, и не усложняя пользователям общение с Gmail, или любым другим почтовым сервисом, любым серьезным сайтом?
Не вдаваясь в подробности реализации хочу предложить к рассмотрению свое решение проблемы динамически защищенной авторизации пользователей, внешне ничем не отличающееся от привычных логина и пароля, адрес демо: key.mywebcommunity.org
которое тем не менее практически исключает появление подобных сообщений: «Мы обнаружили подозрительную активность в Вашем аккаунте...».
Однако когда реально предложена новая идея с действующим образцом, который может продемонстрировать новый уровень безопасности, от нее отмахиваются даже не вникнув в суть происходящего.
Казалось бы, ты специалист, программист, ты можешь понять в чем проблема со взломами,
но над тобой довлеет догма что все что попало в интернет можно расшифровать, а ты попробуй, вот возьми и докажи что эта новая система вовсе не является новой, что такую систему хоть кто то, хоть где то использует в интернете, и самое главное докажи что ее можно взломать, а не просто сидя в кресле у камина в Санкт Петербурге поставить минус моему комментарию, всего лишь пару раз перезагрузив демо страничку и так ничего и не поняв и не удосужившись заглянуть в Sources, Console, Application любезно предоставляемые Chrome (F12), а еще лучше так и предложи свою разработку по укреплению кибербезопасности, чтобы различные варианты можно было сравнить и выбрать лучший, и безопасный и удобный пользователю и не требующий дополнительных денег на приобретение смартфонов со сканированием радужки глаз и отпечатков пальцев с ежесекундным тотальным слежением за перемещениями человека.
Google внедрит двухфакторную аутентификацию для всех пользователей