Пятиминутка ненависти

Nov. 2nd, 2021 07:40 pm
dzz: Dizzy の冬 (Default)
[personal profile] dzz
Очередное подтверждение того, что нет такой гадости, которую нельзя было бы оправдать "вашей безопасностью".

Гугл вводит двухфакторную авторизацию для входа в эккаунт, заставляя пользователей гугломейла и прочих сервисов привязывать учётку к номеру телефона, куда будет высылаться код. Мало того, что процедура будет менее удобной, чем сейчас, так скоро от неё нельзя будет отказаться.

Резервная возможность для входа без телефона - привязанный к учётной записи "запасной" e-mail, со всеми песнями и плясками по переавторизации (с очевидностью, пользоваться такой процедурой будут только самые упёртые).

Мне всегда казалость, что пользователь должен иметь возможность выбора степени защиты своего экканута. Сама по себе двухфакторная авторизация для людей, озабоченных возможностью взлома - неплохая идея, но безальтернативность несколько вымораживает.

Очередной этап "goodbye, privacy"...

P.S. Пойду заведу пару учёток в гугломыле, ссылающихся друг на друга.

P.P.S. Это какой-то общий тренд. Райффайзенбанк при очередном обновлении мобильного клиента, и так имеющего доступ к SMS телефона, стал заставлять пользователей вводить ручками отдельно присылаемый код из эсэмэски. Как это повышает безопасность - загадка, но, видимо, мальчикам-менеджерам (аналог девочек-дизайнеров) виднее :)

P. P. P. S. У Райффайзена фича оказалась отключаемой.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2021-11-02 09:29 pm (UTC)
From: [identity profile] dzz.livejournal.com
В любом случае, телефон становится критически важным элементом аутентикации.

Для меня основной интерфейс гуглопочты — браузерный на десктопе/ноуте, поэтому даже гугл-аутентикатор не будет удобным способом входа. Ну и, IMHO, 2FA должна быть сознательным выбором, а не "все побежали".
Edited Date: 2021-11-02 09:39 pm (UTC)

Re: По ссылке про SMS открытым текстом же

Date: 2021-11-02 09:39 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Я выделил слово "OR" жирным, курсивом и подчёркиванием одновременно, но всё равно...

Тебе придёт "уведомление от Google" _ИЛИ_ "код в SMS". Уведомление это _НЕ_ SMS, это push notification. Вон он у меня в списке второй сверху. На планшете-то и симки нет, туда SMS физически невозможно прислать.

А ещё ты можешь не дожидаясь принудиловки прямо сейчас добавить себе OTP через любой понравившийся генератор — и твои настройки вообще никто не тронет, и добавлять отсебятину не будут.

Date: 2021-11-02 10:09 pm (UTC)
From: [identity profile] dzz.livejournal.com
Ты же понимаешь, что вопрос не в технологии доставки уведомления или ключа, а в том, что мобильник или планшет становится обязательным элементом цепочки.

Date: 2021-11-02 10:15 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Нет. Посмотри, что у меня там первым и третьим номером в списке.

Date: 2021-11-02 10:38 pm (UTC)
From: [identity profile] dzz.livejournal.com
Третьим пунктом у тебя стоит андроидное приложение. Возможно, он работает в анбоксе, но не факт, нужно проверять.

А первым — физическое устройство. Которое нужно либо перетыкать, либо иметь в каждом из компьютеров. Это повышает анонимность, но тот ещё геморрой.
Edited Date: 2021-11-02 10:44 pm (UTC)

Date: 2021-11-02 10:47 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Я верю в способность человека, которому очень хочется отвязаться от телефона, загуглить "OTP generator for X" для любого нужного ему X. Т.к. интерфейсом раздачи ключей является QR код (или строчка в которую он декодируется), то совместимость близка к абсолютной.

Date: 2021-11-02 09:47 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Всецело уважая твоё HO, я считаю что у сервиса с полутора миллиардами пользователей сотни миллионов будут с IQ меньше 80. Носки сознательно они выбрать смогут, а вот 2FA вряд ли, поэтому в светлое будущее они отправятся погоняемые палкой.

Date: 2021-11-02 10:01 pm (UTC)
From: [identity profile] dzz.livejournal.com
Если бы гугл не планировал делать 2FA неотключаемой — вопросов бы не было.

Date: 2021-11-02 10:08 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Повторяю, сотни миллионов людей с IQ меньше 80. А меньше ста — 750 миллионов. Пять с половиной Россий — и все населены людьми не умнее среднего.

Date: 2021-11-02 10:14 pm (UTC)
From: [identity profile] dzz.livejournal.com
И что с того? В конце концов, в мире регулярно принимаются решения, ущемляющие интересы миллионов ради потенциального удобства некоторой небольшой группы людей, и это прокатывает :)

Date: 2021-11-02 10:16 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Есть нюанс — эти люди оплачивают принятие подобных решений. У гугла есть платная почта (Workspace), там ты 2FA можешь крутить как хочешь. В данном случае компания следует интересам не только миллионов, но и своим собственным: стоимость всех этих взломанных аккаунтов не нулевая.
Edited Date: 2021-11-02 10:18 pm (UTC)

Date: 2021-12-09 06:07 pm (UTC)
From: [identity profile] cmpax-u-pagocmb.livejournal.com
Какое дело гуглу, взломали электронную почту или нет?

Date: 2021-12-09 07:16 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Ответ на этот вопрос содержится в стартовом комменте этого треда, вот тут: https://dzz.livejournal.com/1096980.html?thread=6224916#t6224916 Читать сразу после двоеточия.

Date: 2021-12-09 07:43 pm (UTC)
From: [identity profile] cmpax-u-pagocmb.livejournal.com
>>они ж потом поддержку задалбывают и в газетах/форумах клевещут<<

Ну, это явно неправильный ответ.
Поддержка у них сто лет как автоматическая, живых людей там нет.
На что могут клеветать взломанные пользователи и какое дело до этого гуглу - вопрос ещё труднее поддающийся ответу, чем мой первоначальный.

Аналогия ваша некорректна чуть более чем полность.
У автоконцерна есть статистика смертей, влияющая на прибыль, и национальные стандарты ремней безопасности, которые нарушать запрещено.
Гуглопочта не продаётся, она бесплатна. Есть корпоративные аккаунты, но там другие условия и пользователи.
Если бы гугл заботился о репутации (он не заботится, как мы знаем), его бы волновали не столько взломы (в которых строго говоря может быть виноват кто угодно, от "вирусов нахватал" до "лёгкий пароль), сколько неудобство сервиса (но удобство сервиса их не волнует, потому что он бесплатный).

Вобщем, ремни безопасности - это аналогия откровенно глупая.
Странно что вы не назвали более близкую - угон.
Заботится ли автоконцерн о защите машины от угона? В какой-то очень незначительной степени.
Отразится ли на репутации концерна число угонов? Нет, причём тут автоконцерн.

Что делает гугл для защиты доступа к почте? Вводит в своих браузерах... навязчивый сервис сохранения паролей. То есть нечто противоположное. Стало быть, безопасность почты гугл не волнует, удобство пользователей тоже. Но всё же есть что-то общее в сохранении паролей, связывании аккаунтов, требовании телефона, контекстной рекламе, выдаче разным пользователям разных результатов поиска.
Что-то общее, и недоступное вам.

Date: 2021-12-09 08:02 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Ни в коем случае не покушаюсь на ваше право думать именно так. Вы поняли мой комментарий не так, как задумывалось, написали какие-то противоречащие известной мне истории строки про автопроизводителей и угоны, да и про всё остальное тоже, но к счастью всё это можно просто оставить как есть и не волноваться.

Date: 2021-12-09 08:17 pm (UTC)
From: [identity profile] cmpax-u-pagocmb.livejournal.com
Сболтнули ерунду - бывает.

>>не покушаюсь на ваше право<<

Ой, спасибо вам. Я так тронут.

Date: 2021-12-09 08:24 pm (UTC)
From: [identity profile] rblaze.livejournal.com
Всё в порядке, вам присуждается победа в связи с неявкой противника.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

dzz: Dizzy の冬 (Default)
dzz
Dizzy Tech

December 2025

S M T W T F S
  12 3456
7 8 9 10 11 1213
14151617181920
21222324252627
28 29 3031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 31st, 2025 11:39 pm
Powered by Dreamwidth Studios