Пятиминутка ненависти

[dzz]

Очередное подтверждение того, что нет такой гадости, которую нельзя было бы оправдать "вашей безопасностью".

Гугл вводит двухфакторную авторизацию для входа в эккаунт, заставляя пользователей гугломейла и прочих сервисов привязывать учётку к номеру телефона, куда будет высылаться код. Мало того, что процедура будет менее удобной, чем сейчас, так скоро от неё нельзя будет отказаться.

Резервная возможность для входа без телефона - привязанный к учётной записи "запасной" e-mail, со всеми песнями и плясками по переавторизации (с очевидностью, пользоваться такой процедурой будут только самые упёртые).

Мне всегда казалость, что пользователь должен иметь возможность выбора степени защиты своего экканута. Сама по себе двухфакторная авторизация для людей, озабоченных возможностью взлома - неплохая идея, но безальтернативность несколько вымораживает.

Очередной этап "goodbye, privacy"...

P.S. Пойду заведу пару учёток в гугломыле, ссылающихся друг на друга.

P.P.S. Это какой-то общий тренд. Райффайзенбанк при очередном обновлении мобильного клиента, и так имеющего доступ к SMS телефона, стал заставлять пользователей вводить ручками отдельно присылаемый код из эсэмэски. Как это повышает безопасность - загадка, но, видимо, мальчикам-менеджерам (аналог девочек-дизайнеров) виднее :)

P. P. P. S. У Райффайзена фича оказалась отключаемой.

Comments

[otawa]

Я лет 10 назад самоустранилась из Вконтактика, когда они внезапно без объявления войны заявили "а теперь мы вас не пустим на вашу же страницу, пока вы нам свой мобильный телефон не укажете". Попрепиралась с их техподдержкой: я им "пэрэдупэрэждать надо", а они мне "для вашей же безопасности". Велела им передать начальству, что они хамы невежливые, раз так с клиентами обращаются, указала мобило и удалила страницу. А то без мобилы даже удалить было нельзя. Так что в гугле молодцы, хотя бы заранее предупреждают.

[bodeh.livejournal.com]

Пф, это уже очень давно так. А симку тебе продадут ТОЛЬКО по паспорту.

То есть Большой брат всё может видеть. И продавать тебя кому надо.

[rblaze.livejournal.com]

Это как с ремнями безопасности: можно было бы позволить людям не использовать второй фактор, но они ж потом поддержку задалбывают и в газетах/форумах клевещут.
А для любителей хранить номер телефона в секрете есть одноразовые коды. У меня вот SMS как второй фактор не включён.

[dzz.livejournal.com]

Всё было бы не так грустно, но гугл обещает сделать SMS-фактор обязательным для всех.

[dzz.livejournal.com]

Ну, с симками есть варианты, просто они достаточно геморройны, и мне лень.
Взаимные гугл-эккаунты без телефонов я таки сделал :)

[dzz.livejournal.com]

Я в своё время послал лесом PayPal, который затребовал фото моего паспорта. Но это была история с требованиями финансового регулятора в лице ЦБ.

[dzz.livejournal.com]

Одноразовые бесплатные телефоны для СМС я перепробовал на гугле вот только что, из двух десятков не был принят ни один с диагностикой "с этого номера было слишком много попыток регистрации".

Платные, возможно, примут, но без гарантий.

[rblaze.livejournal.com]

И где же гугл это обещал?

[rblaze.livejournal.com]

Ты не путай, проверка при регистрации это антиспам. Она уже годы как требуется, если я правильно помню.

[dzz.livejournal.com]

Вот тут обещал:

Можно ли отключить двухэтапную аутентификацию?

Да, сейчас вы можете отключить двухэтапную аутентификацию после автоматического включения, но в таком случае ваш аккаунт станет более уязвимым.

Скоро двухэтапная аутентификация станет обязательной для большинства аккаунтов Google.

[dzz.livejournal.com]

Я не путаю. Гугл при заходе с нового IP позволяет зарегать учётку с телефоном в статусе "optional", правда, только один раз.

[rblaze.livejournal.com]

Ты же правда
1) понимаешь разницу между "2FA вообще" и "2FA с помощью SMS",
2) обратил внимание, что там на видео никаких SMS нет,
3) прочитал и понял фразу "You may tap a sign-in prompt that Google sends to your phone, or enter a code that’s texted to you."?

Список в последней фразе далеко не исчерпывающий. Вот как 2FA выглядит у меня:


И никаких SMS.

[dzz.livejournal.com]

В любом случае, телефон становится критически важным элементом аутентикации.

Для меня основной интерфейс гуглопочты — браузерный на десктопе/ноуте, поэтому даже гугл-аутентикатор не будет удобным способом входа. Ну и, IMHO, 2FA должна быть сознательным выбором, а не "все побежали".

Re: По ссылке про SMS открытым текстом же

[rblaze.livejournal.com]

Я выделил слово "OR" жирным, курсивом и подчёркиванием одновременно, но всё равно...

Тебе придёт "уведомление от Google" _ИЛИ_ "код в SMS". Уведомление это _НЕ_ SMS, это push notification. Вон он у меня в списке второй сверху. На планшете-то и симки нет, туда SMS физически невозможно прислать.

А ещё ты можешь не дожидаясь принудиловки прямо сейчас добавить себе OTP через любой понравившийся генератор — и твои настройки вообще никто не тронет, и добавлять отсебятину не будут.

[rblaze.livejournal.com]

Всецело уважая твоё HO, я считаю что у сервиса с полутора миллиардами пользователей сотни миллионов будут с IQ меньше 80. Носки сознательно они выбрать смогут, а вот 2FA вряд ли, поэтому в светлое будущее они отправятся погоняемые палкой.

[dzz.livejournal.com]

Если бы гугл не планировал делать 2FA неотключаемой — вопросов бы не было.

[rblaze.livejournal.com]

Повторяю, сотни миллионов людей с IQ меньше 80. А меньше ста — 750 миллионов. Пять с половиной Россий — и все населены людьми не умнее среднего.

[dzz.livejournal.com]

Ты же понимаешь, что вопрос не в технологии доставки уведомления или ключа, а в том, что мобильник или планшет становится обязательным элементом цепочки.

[dzz.livejournal.com]

И что с того? В конце концов, в мире регулярно принимаются решения, ущемляющие интересы миллионов ради потенциального удобства некоторой небольшой группы людей, и это прокатывает :)

[rblaze.livejournal.com]

Нет. Посмотри, что у меня там первым и третьим номером в списке.

[rblaze.livejournal.com]

Есть нюанс — эти люди оплачивают принятие подобных решений. У гугла есть платная почта (Workspace), там ты 2FA можешь крутить как хочешь. В данном случае компания следует интересам не только миллионов, но и своим собственным: стоимость всех этих взломанных аккаунтов не нулевая.

[dzz.livejournal.com]

Третьим пунктом у тебя стоит андроидное приложение. Возможно, он работает в анбоксе, но не факт, нужно проверять.

А первым — физическое устройство. Которое нужно либо перетыкать, либо иметь в каждом из компьютеров. Это повышает анонимность, но тот ещё геморрой.

[rblaze.livejournal.com]

Я верю в способность человека, которому очень хочется отвязаться от телефона, загуглить "OTP generator for X" для любого нужного ему X. Т.к. интерфейсом раздачи ключей является QR код (или строчка в которую он декодируется), то совместимость близка к абсолютной.

[anna68.livejournal.com]

Им, как тому сержанту, надо не чтобы дело было сделано, а чтобы мы задолбались.

[vitus_wagner]

Это все security theater. Известно что любая мера, которая действительно повышает безопасность, снижает удобство.

Поэтому они стараются сделать максимально неудобные способы, чтобы люди у которых IQ меньше 100 поверили, что им действительно делают безопасно (те, у которых IQ больше 100 понимают, что обратное неверно и далеко не каждая рыба - селедка, каждое неудобство пвышает безопасность).

А уж того, что отказ в обслужисвание это тоже угроза, не ннают и многие с IQ более 100.

А если покопаться в том как устроены GSM-сети и доставка SMS то станет очевидным что использование SMS в качестве второго фактора СНИЖАЕТ безопасность.

[cmpax-u-pagocmb.livejournal.com]

Какое дело гуглу, взломали электронную почту или нет?

[cmpax-u-pagocmb.livejournal.com]

>>Поэтому они стараются сделать максимально неудобные способы, чтобы люди у которых IQ меньше 100 поверили, что им действительно делают безопасно

А если покопаться в том как устроены GSM-сети и доставка SMS то станет очевидным что использование SMS в качестве второго фактора СНИЖАЕТ безопасность.<<

Я почему-то не увидел у вас вывод "значит безопасность не при чём, а просто затрудняют создание одним человеком нескольких адресов, или собирают данные, которые неплохо продаются".
Возможно, у меня IQ ниже 100 и всё это подразумевалось между строк.

[rblaze.livejournal.com]

Ответ на этот вопрос содержится в стартовом комменте этого треда, вот тут: https://dzz.livejournal.com/1096980.html?thread=6224916#t6224916 Читать сразу после двоеточия.

[cmpax-u-pagocmb.livejournal.com]

>>они ж потом поддержку задалбывают и в газетах/форумах клевещут<<

Ну, это явно неправильный ответ.
Поддержка у них сто лет как автоматическая, живых людей там нет.
На что могут клеветать взломанные пользователи и какое дело до этого гуглу - вопрос ещё труднее поддающийся ответу, чем мой первоначальный.

Аналогия ваша некорректна чуть более чем полность.
У автоконцерна есть статистика смертей, влияющая на прибыль, и национальные стандарты ремней безопасности, которые нарушать запрещено.
Гуглопочта не продаётся, она бесплатна. Есть корпоративные аккаунты, но там другие условия и пользователи.
Если бы гугл заботился о репутации (он не заботится, как мы знаем), его бы волновали не столько взломы (в которых строго говоря может быть виноват кто угодно, от "вирусов нахватал" до "лёгкий пароль), сколько неудобство сервиса (но удобство сервиса их не волнует, потому что он бесплатный).

Вобщем, ремни безопасности - это аналогия откровенно глупая.
Странно что вы не назвали более близкую - угон.
Заботится ли автоконцерн о защите машины от угона? В какой-то очень незначительной степени.
Отразится ли на репутации концерна число угонов? Нет, причём тут автоконцерн.

Что делает гугл для защиты доступа к почте? Вводит в своих браузерах... навязчивый сервис сохранения паролей. То есть нечто противоположное. Стало быть, безопасность почты гугл не волнует, удобство пользователей тоже. Но всё же есть что-то общее в сохранении паролей, связывании аккаунтов, требовании телефона, контекстной рекламе, выдаче разным пользователям разных результатов поиска.
Что-то общее, и недоступное вам.

[rblaze.livejournal.com]

Ни в коем случае не покушаюсь на ваше право думать именно так. Вы поняли мой комментарий не так, как задумывалось, написали какие-то противоречащие известной мне истории строки про автопроизводителей и угоны, да и про всё остальное тоже, но к счастью всё это можно просто оставить как есть и не волноваться.

[cmpax-u-pagocmb.livejournal.com]

Сболтнули ерунду - бывает.

>>не покушаюсь на ваше право<<

Ой, спасибо вам. Я так тронут.

[rblaze.livejournal.com]

Всё в порядке, вам присуждается победа в связи с неявкой противника.

[vitus_wagner]

Потому что миром правит не тайная ложа, а явная лажа.
Поэтому не надо делать конспирологических выводв о далеко идущих планах.

[cmpax-u-pagocmb.livejournal.com]

У вас впереди ещё много чудных открытий.