Google собирается внедрить для всех пользователей Gmail и владельцев учетных записей других сервисов двухфакторную аутентификацию для защиты их данных.
Вскоре компания начнет по умолчанию регистрировать пользователей по системе двухэтапной аутентификации, даже если их учетные записи не настроены надлежащим образом. Узнать статус своей учетной записи можно в разделе «Проверка безопасности».
Пользователям предложат вводить дополнительный ключ безопасности Google Titan или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона.
По данным Microsoft, 99,9 % взломанных учетных записей, которые она отслеживает каждый месяц, не использовали многофакторную аутентификацию. Два года назад компания изменила базовый уровень безопасности Windows 10, который до этого рекомендовал корпоративным пользователям менять свой пароль каждые несколько месяцев.
Google же предлагала функцию менеджера паролей в Chrome. Теперь в браузере заметили экспериментальную опцию под названием «импорт пароля», которая позволяет пользователям импортировать пароли из файла CSV.
Ранее исследователи безопасности из NinjaLab рассказали об уязвимости в чипах для аппаратных ключей безопасности Google Titan и YubiKey. Ее эксплуатация позволяла хакерам восстановить первичный ключ шифрования для создания криптографических токенов и обхода операций двухфакторной аутентификации.
Jogger
Как всегда, под видом улучшений гугл собирает номера телефонов (у тех, у кого ещё не собрал по какой-то причине). Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.
apapacy
Я долго боолся. Потом был какой-то срочный момент. Или митинг с клиентом или проблемы на сервере. Мне срочно понадобился логин в облако. тут облако присылает мне на мейл ОТП код. Я иду на мейл и читаю издевательское сообщене. "Мы обнаружили подозрительную активность на Вашем экаунете. В целях Вашей же безопасности Вы должны сообщитьнам свой номер телефона" То что они сделают 100% обязательным это только дело времени. Наверное прочитывали сколько при этом клеинтов они потеряют. очень надеюсь что всех.
Ark1774
Почтовые сервисы этим уже давно занимаются.
sumanai
Ну так какие проблемы, у меня сегодня потребовал, первый сервис приёма СМС из гугла и второй номер в нём. И плевать, что номер украинский, а я когда-то уже вводил таким же способом другой номер. Б -Безопасность.
MTyrz
Доверяйте облакам, облака — это надежно.
[/sarcazm]
STingerOid
Я в свой первый рабочий день на нынешней работе так и не смог залогиниться в гугл-акк с рабочего компа. Несмотря на правильный пароль, гугл мне писал что-то вроде «вы логинитесь с какого-то нового подозрительного места, мы вас не пустим, пока вы не подтвердите что-то», уже не помню что. При этом у меня есть домашняя виртуалка, я через нее залез, подтвердил что этот новый логин действительно мой, пошарился по всяким настройкам безопасности, чтобы понять как отключить эту «суперповышенную безопасность», ничего не нашел. Пришлось этим днем пользоваться акком через свою виртуалку. Но на следующий день почему-то пустило в акк безо всяких проблем.
alkoro
>как отключить эту
myaccount.google.com/lesssecureapps
Я искал и нашёл, когда после 2хмесячного простоя не проверял почту (thunderbird). Подконтрольных аккаунтов у меня штук 8, так вот все заблокировались, и google самовольно отключил pop3. Пришлось искать окончательную ссылку.
зы.Они вводят 2FA, как тогда будет работать простой POP3S?
vmkazakoff
Так речь не про смс. Да и зачем ваш номер Гуглу? Ладно ещё Яндекс с Мейлом, с ними понятно.
У меня номер поменялся лет 5-6 назад (старый остался, но не основной) и за это время Гугл ни разу не прислал ни единой смски. Всегда авторизация проходила или по одноразовому коду из аутентификатора (приложение где коды меняются раз в минуту), или по нажатию на кнопку "да" на экране смартфона. Без второго фактора я лично считаю любой аккаунт не защищённым.
Причем настроил аутентификатор с меняющимися паролями я до того как указал свой номер, не уверен, но мне кажется что и сейчас так можно. Как минимум вижу такую опцию для другого своего аккаунта.
Так что никто ваш номер не пробует получить, нужен именно телефон как устройство, а не телефон как номер.
apapacy
Ну вот аутентфикатор. Как вы думаете, этот аутентификатор не знает о Вас больше чем нужно?
Kanlas
А что он может знать?
tmin10
Он знает текущее время, конечно же!
vmkazakoff
Вы, верно, и не поняли даже о каком аутентификаторе речь и что там за технологии.
Если что - у меня authy опенсорсный, у него разрешений примерно ноль. И в нем не только Гугель, но и несколько других аккаунтов, в которых я считаю важным включить 2ФА.
interprise
Не нашел сорцы authy, вы уверенный что он открытый?
vmkazakoff
Бес попутал, а исправить не могу. Спасибо что заметили! Я конечно же подумал про одно, написал другое. Authy не опенсорс (но у меня он), но есть OpenOTP и масса других решений уже опенсорсных. Алгоритм внутри не отличается (технология одна), но опенсорс всяко лучше.
czz
Посмотрите Authy App Privacy Policy, там много интересного: www.twilio.com/legal/privacy/authy
dimakey
А Как быть в случае утери устройства? Читал как люди ставили Близзардовское приложение-аутентификатор, а потом при утоплении телефона прям максимальный гемор для восстановления доступа.
vmkazakoff
Ключик то можно было б и сохранить ))
А обычно там все как и с потерей пароля - всякие секретные слова, старые пароли, вспомнить на что был похож пароль, фото с паспортом на фоне своего
коврааккаунта... конкретно у Гугла ещё есть специальные защитные коды - их, если совсем никак, можно и на бумажку выписать.tmin10
Обычно к нему прикладывается лист одноразовых паролей, по которым можно восстановить доступ. Предполагается его печать и хранение в надёжном месте. Ну и ключи сохранить можно, да.
dartraiden
При настройке аутентификатора любой уважающий себя сервис предлагает сохранить резервные коды или seed. Близзы при настройке явно пишут «вот этот код очень важно сохранить в надёжном месте, он поможет при утере аутентификатора настроить новый». Но люди, как обычно либо игнорируют, либо сохраняют резервные коды на том же устройстве, что и аутентификатор.
sumanai
Его спросите.
Пока я видел только поле для ввода номера.
Ileots
Номер потом гугл вроде разрешает удалить из аккаунта, по крайней мере 2 года назад я удалил у себя - пришлось сначала номер указать, да...
VitalKoshalew
Поправка — Google позволит занести 1 в какое-нибудь поле bIsDeleted.
Ileots
Вы правы, если вдруг надо будет восстанавливать доступ, надо будет указывать максимум информации, прошлые пароли и тп, наверняка окажется, что гугл и этот номер помнит...
s7329
Месяц назад так делал.
Интересно, если я удалил из почты номер телефона, так как аккаунт шареный (с целью дать доступ к определенным сервисам гугла команде и не использовать при этом персональные аккаунты), то придется тоже номер теперь привязывать обратно?
Или я может неправильно сделал с этим шаренным аккаунтом. Может кто что-то посоветовать?
Ileots
Телефон я удалил уже после настройки 2sa.
Вам телефон опять временно придется привязать (раз без него никак), настроить 2sa на гуглаутентификатор и снова его удалить
sumanai
Главное чтобы этот второй фактор не мог превратится в единственно необходимый.
Как минимум в куче российских сервисов нельзя, проверял.
vmkazakoff
Так. В статье речь только про Гугл. Нашими сервисами я стараюсь не пользоваться, а если пользуюсь, то уж точно не дорожу паролями.
Только что проверил - моему второму акку предлагают все возможные способы второго фактора. Никакого принуждения к вводу номера. Может быть если я всё-таки включу, то попросит, я не хочу проверять - это общий аккаунт и у других доступ слетит.
dblokhin
Это у вас, параноиков, гугл-аккаунт только ради того, чтобы приложения поставить из плей маркета. Есть целый мир, в котором у людей на гугл-акк завязано работа в самом серьезном смысле слова, образование, связи, личная переписка. Вам-то этого не знать, вы в своем Signal или жабере сидит и горя не знаете.
Ага. Гугл собирает базу телефонов, йопта.
apapacy
Не только телефонов. Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно? Ну например если Вы в России то не только Ваш а всех. По некоему санкционному списку стран. А пока конечно можно прикалываться над Эльбрусами.
Kanlas
А как отсутствие номера телефона поможет от блокировки аккаунта? И при чем тут Эльбрусы?
tvr
Мастер приплёта 80 lvl, рефлекс.
dblokhin
Как-то ограничено государственными границами РФ. И причем здесь это как аргумент против двухэтапки, непонятно.
C_21
Вот смотришь карма 35, 43 публикации, рейтинг все дела, а человек несет херню про санкции и блокировки и расово верный Эльбрус.
Пусть у меня карма -30, так я несу чепуху то про толерастов, Роскомнадзор — который у всех в печенках, про режим который на колени ставит рунет.
Зато человек патриот, а я так мимо тут проходил и иногда ляпну в невпопад.
Вот этот камрад скорей всего над блокировками работает и сидит на зарплате. Иначе такую херь про ненавязчивое импортозамещение я понять не могу.
Black_Spirit
Тут на Хабре работает группа товарищей. После моих нескольких комментариев по поводу прелестей Роскомнадзора, у меня систематически снимают карму даже после высказываний на нейтральные темы.
Dolios
Очень недальновидно завязывать всю свою жизнь на 1 компанию (пусть и хорошую), которая может вас в любой момент забанить без объяснения причин.
dblokhin
MS/Amazon/Яндекс/мэйл тоже может заблокировать без объяснения причин ваш акк, на котором, допустим, работает облако из 100 машин. И что вы предлагаете? Сделать распределенную сеть из нескольких облаков, чтобы в случае гипотетической блокировки в одном облаке "ваша жизнь" продолжалась?
Dolios
...
У вас там все хорошо? Ну и, некрасиво так редактировать сообщения. Если уж начали оскорблять собеседника, имейте яйца.
dblokhin
Я просто подумал о том, что слишком жестко отписал. Из уважения отредактировал, чтобы не скатываться на личности. Если вам интересно, то, я при своем мнении. Вы написали бред оторванный от мира.
sumanai
Это неправильные параноики, не советую равняться на них. Правильные параноики используют F-Droid на самолично собранной LineageOS.
bgBrother
sumanai
Разные степени паранойи. Настоящие параноики улетели в другую солнечную систему, тут ловить уже нечего.
gsaw
Там не обязательно задавать номер телефона, можно и просто устройство андроид настроить для подтверждения. Раньше да, когда этого не было, я вводил номер телефона. Пару раз был за границей с рюкзаком. И иногда приходилось логиниться в стрёмных интернет кафешках, что бы купить и распечатать билеты к примеру. Двухэтапная аутентификация все же лучше в таком случае, если там какие ни будь кейлоггеры установленны.
X86X
Так устройство на андроиде и так номер телефона уже знает. И не только его, а кучу другой информации.
gsaw
Ну это да, андроид знает. То есть вы думаете приложение при аутентификации шлёт все мои персональные данные, ну или по крайней мере мой номер телефона google?
BlackMokona
Т.е процентов для 90 клиентов, учитывая как сильно распространены подобные супер простые и очевидные пароли
Elfro
Здесь хоты бя требуют только номер. Яндекс же вообще блокирует аккаунты под предлогом «замечена подозрительная активность», и пока фоточку паспорта не пришлешь, доступ не получишь. А потом новость «Сотрудник «Яндекса» слил данные почти 5000 пользователей почты». А сколько таких фоточек было нарисовано, и сколько ящиков таким образом вломано — никто не знает. И в отличие от идентификации по IP или номеру, с фоточкой потом концы с концами не свяжешь. Но очевидно персональные данные для Яндекса важнее безопасности данных пользователей, чего я не могу сказать про гугл.
sumanai
Фоточек вроде ни разу не требовал, только телефон.
Ark1774
Я для подобных случаев дополняю фотку/скан, бумажкой поверх. С надписью кому именно и когда предоставлено. В случае утечки можно не искать крайнего, но что «удивительно», данные фотки ни разу не утекали.