Názory k článku
Dvoufaktorovou autentizaci má u Google méně než jeden uživatel z deseti
-
Michal SmržStříbrný podporovatelBejvávalo. Kvůli nákupu aplikací na Androida čék musel použít Google Pay a to byla dobrá motivace.
-
martyd (neregistrovaný)
Já bych třeba rád pár aplikací koupil (vlastně doslova pár Aerial TV a SDRTouch), ale nejde to zaplatit jinak, než uložením platební karty na googlu. Toto je úplná šílenost, ti autoři přece musí vědět, že lidi nikam karty ukládat nechcou, ne? Nebo to je nějak zakázané mít v aplikaci svoje platební metody? Číslo účtu?
-
. . (neregistrovaný)
ano, je to zakázané podmínkami, platby musí jít přes Google, resp. on si bere provizi.
Zrovna Google patří mezi ty spolehlivější a ukládat kartu u něj není pro mě takové riziko jako na jiném webu. Dnes již je možné mít kartu a převádět na ní peníze nebo naopak jí povolovat těsně před platbou, to riziko kapánek snižuje.
-
Ondro (neregistrovaný)
To mi je jedno, ze je spolahlivejsi. Parovat ucet s kartou nemienim ani tak. Je to nezmysel a google to nerobi len tak a ma na to dovod. Preto sa necudujem, ze nikto nekupuje u nas palikacie, ked u nas je to v podstate jedina moznost platby.
Nevie niekto preco google u nas neumoznuje pouzivat paypal? Na taketo veci ho prave mam. Nemam ho s nicim spravany, ak potrebujem tak si nanho prevediem peniaze. Vysledok pridem maximalne o peniaze, ktore na nom mam, co je len nejaky zostatok po platbe. -
. . (neregistrovaný)
ale to stejné můžeš dělat s kartou, mít zvláštní kartu se samostatným virtuálním účtem a na ní převádět peníze v případě potřeby platby.
Google neplánuje nejspíš paypal, nemají se moc rádi a paypal má dost vysoké poplatky.
Důvod má takový, že globálně jednodušší a spolehlivější způsob jak přijímat peníze není. Každopádně to jsou tvoje pravidla, který jsi si stanovil.
-
Filip JirsákStříbrný podporovatelJe rozdíl, jestli někdo může číst maily v okamžiku, kdy se přihlásíte, nebo jestli je může číst i kdykoli v budoucnosti a přihlásit se ke všem dalším službám, ke kterým se přihlašujete pomocí Google účtu.
-
KateStříbrný podporovatelOTP chrání i uživatele, kteří používají jedno heslo na víc věcí a heslo z nějaké služby unikne.
Stejně tak ten hacknutý počítač třeba v kavárně může mít jen keylogger, nemusí nutně parsovat každý web který navštívím, nebo provádět MITM a ukládat si dešifrovanou komunikaci. Proti tomu OTP pomůže také.
-
Filip JirsákStříbrný podporovatel
A já říkám, že už první varianta je naprosto neskutečnej průser.
Což ale neznamená, že druhá varianta by nebyl průser ještě mnohonásobně větší, a že nemá smysl se proti tomu bránit. Ostatně byla spousta případů, kdy někdo nějak získal heslo – odpozoroval, vylákal ho, zjistil ho jinde a uživatel používal stejná hesla. Ve velké většině případů by OTP útočníkovi zabránilo v jakékoli akci. Protože případů, kdy útočník dokáže heslo zneužít on-line, je minimum – většinou ho použije později.Srovnej: "Někdo může odpálit moje jaderné střely dneska." vs "Někdo může odpálit moje jaderné střely kdykoliv."
Akorát že čtení e-mailů a odpálení jaderných střel srovnatelné není. -
C (neregistrovaný)
Nah.
Jsou dvě možnosti:
buďto ten email chci chránit, a pak je průšvih už když si ty maily jen tak někdo může přečíst,
nebo je mi to vlastně jedno, že mi ty maily někdo čte, a pak mi je jedno i to, že mi někdo ukradne heslo..Nějak nevidím tu variantu mezi tím, se kterou tu tolik lidí pracuje. Jakože kdy přesně by mi mělo záležet na emailu tak máo, abych dal přístup ke svým doručeným emailům nedůvěryhodnému počítači, ale tak moc, abych považoval za problém, když mi teda někdo ukradne heslo a bude se moct přihlásit.
-
Filip JirsákStříbrný podporovatel
Nejsou jen dvě možnosti, je celá škála možností. Přičemž dvoufaktorová autentizace chrání v případech, kdy dojde k prozrazení hesla. Existuje spousta možností, jak může dojít k prozrazení hesla, u kterých útočník nemá zároveň možnost nakládat libovolně s mým účtem u Googlu – tu by získal teprve tehdy, pokud by to heslo byl jediný prostředek zabezpečení. Například jde o použití stejného hesla na více místech; chyba v aplikaci, která heslo prozradí; odpozorování hesla při psaní; únik hesla ze správce hesel; keylogger… Vy pořád operujete jenom s e-mailem a jenom s nedůvěryhodným počítačem, ale těch vektorů útoku je daleko víc.
-
zet (neregistrovaný)
Je FreeOTP dost open source?
https://en.m.wikipedia.org/wiki/FreeOTPDalší možnost je nějaký HW klíč (napr YubiKey)...
-
Niemand (neregistrovaný)
Jste si tím tak jistý? Nepoužívá se u dvoufaktorové autentizace googlu QR kód? Pokud ano, tak se bez telefonu můžete obejít, ale je to hoooodně krkolomné.
Já se spíše ptám, protože to sám nepoužívám a používání googlu účtu jsem zrušil právě kvůli strašně otravnému páčení informací, kdy se google ze mně asi každého čtvrt roku snažil vyrazit telefonní číslo, přestože jsem od něj nikdy žádnou dvoufaktorovou autentizaci nepožadoval. Navíc, pokud často cestujete, používání google účtu bez dvoufaktorové autentizace je téměř nemožné a google vám odmítne přihlášení i když znáte heslo a odpověď na kontrolní otázku a požaduje další autentikaci.Víte tedy, prosím, o nějakém řešení dvoufaktorové autentizace pro google, které nevyžaduje telefón ani telefonní číslo? Můžete, prosím, uvést odkaz? Velice by mi to pomohlo.
-
Filip JirsákStříbrný podporovatel
QR kód se používá jen pro snazší konfiguraci. Dvoufaktorová autentizace Googlu je standardní TOTP – necháte si vygenerovat 6místný kód, který opíšete na přihlašovací stránku.
-
qwertz (neregistrovaný)
Riziko je v tom, že o vás jedna firma, jejíž core business je shromažďování informací (to je v tomto případě dost podstatné) bude vědět prakticky úplně všechno - nejen znát vaši komunikaci, ale také co na intrenetu vyhledáváte, na jaké stránky chodíte (plus samozřejmě všudypřítomný google ads a google analytics). To není v zájmu žádného uživatele.
-
Ondra Satai NekolaZlatý podporovatelNeblábol.
Z těch 90% to u většiny není žádné vychytralé a dobře rozmyšlené řešení, ale čirá neznalost nebo lenost.
Pro věšinu lidí by nastavení 2FA přineslo podstatné zlepšení bezpečnosti. Naopak velká část rizik (Google bude znát moje číslo) je buď mimo (už ho dvno zná) nebo se dá obejít (to číslo nepotřebuješ dát).
-
Ondra Satai NekolaZlatý podporovatel
Jedine, co potrebujes, je zadat cislo, na ktere lze poslat SMSku, kterou pak muzes precist...
-
Ondra Satai NekolaZlatý podporovatel
Tak jeste jednou - nemusis zadat svuj telefon. Musis zadat telefon, na ktery lze poslat SMS, kterou zvladnes precist.
-
Niemand (neregistrovaný)
Moje zkušenost je, že dvoufaktorová autentikace pro google účet je jen mazaný trik na spárování uživatele s telefonním číslem a že nejde o nic jiného než sběr dat.
Obecně je dvoufaktorová autentikace užitečná věc, ale zásadně by měla být řešena pomocí tokenů, nikoliv pomocí telefonu.
-
MartinX (neregistrovaný)
Google pozna telefone cislo v okamihu, ked sa prihlasim cez Google ucet na Android telefone. Tipnem si, ze vacsina pouzivatelov Google sluzieb ma (aj) Android telefon.
Okrem toho Google vyzaduje telefonne cislo uz pri registracii a netusim, ci sa aktualne vobec da vytvorit ucet bez zadania realneho telefonneho cisla (overeneho cez zaslanie SMS). -
Niemand (neregistrovaný)
Narazil jsem na stejný problém a když jsem před nějakou dobou zkoušel vytvořit nový účet, bez zadání telefonního čísla mě to nechtělo pustit dál. Ovšem nejde mi o nové účty, šlo mi o používání těch, které už mám. Ty, které mám nebyly nikdy spárované s telefonnním číslem a ani to nemám v plánu udělat (a že se fakt snažili to číslo ze mě vypáčit).
-
Tak já když jdu do nastavení a vyberu "Dvoufázové ověření", tak tam mám kromě informace o tom, od kdy to mám zapnut, pod sebou v části "Druhý krok" hned několik položek:
1. "Výzva od Google" - to vyskočí na telefonu či jiném Android zařízení nějaký dotaz který se nějakým tlačítkem potvrdí - ale na to podle mně potřebuje datové připojení
2. Apikace Authenticator - a to je právě ono, dokonce se ani nemusí v telefonu používat aplikace Google Authenticator, existuje pro ni spousta alternativ, některé i kompletně open source (to ten původní Google Authenticator také byl, ale pak to uzavřeli - takže některé z těch alternativ jsou v podstatě forkem z doby, kdy to bylo ještě otevřené)
3. Hlasová zpráva nebo SMS - klasická SMSka, ale umí to prý i zavolat (jsem zatím nezkoušel)
4. Záložní kódy - v podstatě předgenerovaných 10 heselPak tam mám ještě část: "Nastavit alternativní druhý krok" (ty předchozí už mám asi nastavené) . tam mi to tam ještě nabízí "Přidat bezpečnostní klíč" - to bude asi myšlený nějaký USB token (Yubikey?) či čipová karta (pokud bych měl čtečku). Předpokládám, že pokud ten Google Authenticator nastavený nemáte, tak bude v téhle části. Možná Vás zmátlo to, že se to nejmenuje "TOTP", ale "Aplikace Authenticator"?
-
To nevím, ale technicky vzato to číslo k tomuto není potřeba. Moc mě ale nenapadá, jak to ověřit, u Googlu mám jen jeden účet, moc se mi nechce jen za účelem otestování tohoto zakládat další.
Zkoušel jsem trochu hledat a zdá se, že Google možná před zapnutím jakékoliv dvoufaktorové autentizace to číslo chce pro případné obnovení zapomenutého hesla:
https://www.quora.com/Is-it-possible-to-use-Google-2-step-verification-without-a-mobile-phone-number
Já osobně neměl problém v tom jim to číslo dát už před lety. Na mobil mi občas nějaké otravné firmy volají, ale Google zatím nevolal ještě nikdy. Ano, mají ještě moje kontakty - protože telefonní seznam si zálohuji přes Google. Ale zase třeba nemají mojí mailovou komunikaci, protože poštu si řeším na vlastním serveru.
Ale jestli jedna z výhrad vůči dvoufaktorové autentizaci u Googlu byla "lidé kteří hodně cestují" - jako ve smyslu někam, kde by nemuseli mít v mobilu datové připojení (nebo vůbec třeba mobilní signál), tak zrovna na tento způsob to není potřeba vůbec - a ten mobil většinou sebou asi lidé vozí i do té ciziny. A pokud ne, ještě pořád se dají používat ta předgenerovaná hesla, i když ty Google asi zamýšlel spíš jako záložní a nouzovou možnost, když někomu ten telefon ukradnou...
-
Ondro (neregistrovaný)
Aj odo mna uz x krat chcel telefon a pravidelne to skusal(ucet som si zaklad v dobe, ked este nebol verejne dostupny).
"Ale jestli jedna z výhrad vůči dvoufaktorové autentizaci u Googlu byla "lidé kteří hodně cestují" - jako ve smyslu někam, kde by nemuseli mít v mobilu datové připojení (nebo vůbec třeba mobilní signál)"
Nie v takom zmysle. Google otravny, ked sa napriklad prihlasis z ineho zariadenia(PC).Pre mna to bola posledna kvapka preco som google opusitil. Mam kopu pocitacov a roznych zariadeni, na casti z nich casto instalujem rozne operacne systemy a tiez som sa k svojmu uctu prihlasoval aj z inych PC. Zakazdy, ked som sa prihlasil, tak v mojom sparovanom emaile skoncila sprava s bezpecnostnym upozornenim, ze sa niekto prihlasil do mojho uctu z noveho zariadenia. Dostavat takuto spravu par krat do tyzdna ma nebavilo.
-
Niemand (neregistrovaný)
Bylo to přesně tak, jak píšete, ale dnes je to ještě horší.
Kromě varovného emailu, který mi až tak nevadí, se mi několikrát stalo, že mi v nové lokaci odmítl přihlášení na účet i při zadání správného hesla (bez předchozích chybných pokusů) a následně ještě i správné odpovědi na kontrolní otázku, přičemž jsem používal stále stejné zařízení, nikoliv několik různých zařízení jako vy.
To byl také důvod, proč jsem rovněž přestal google účty používat. (Mám jen jeden testovací na blbnutí s emulátory smartphonu.)Je docela potěšující vidět, že 90% lidí jim na tohle sprosté šmírování nepřistoupí a třeba to bude mít po čase nějaký důsledek jako bylo například zrušení vynucováni g+ pro kdejakou blbost (rozloučit se youtube účtem bylo pro mě asi nejbolestivější) nebo seberegulace reklam poté, co hodně lidí začalo blokovat reklamy.
-
Filip JirsákStříbrný podporovatel
Je to naopak, 95 % lidí je za tohle rádo, protože nejde o žádné šmírování, ale ochranu těch účtů. Že to těm zbývajícím pěti procentům nevyhovuje, to se nedá nic dělat – nikdy se nejde zavděčit všem.
To „vnucování účtů“ jsem nikdy nepochopil – jaký je rozdíl, jestli se ten účet jmenuje „GMail účet“, „Youtube účet“, “Google+ účet“ nebo „Google účet“?
-
Co Vy považujete za "otravnost" je právě ta vyšší míra zabezpečení. Na svém domácím počítači a na počítači v práci jsem tohle jednou potvrdil a mám klid. Občas se v práci také pohybuji mezi více počítači, ale nemám potřebu na nich lézt do Google Mailu. Pokud pracujete v nějaké firmě jako ajťák a každou chvíli někde něco instalujete, fakt se na každém počítači, kde někomu něco instalujete, potřebujete přihlašovat do Googlu?
-
Filip JirsákStříbrný podporovatel
Moje stránka konfigurace dvoufázové autentizace Google účtu na adrese https://myaccount.google.com/signinoptions/two-step-verification vypadá takhle: https://snag.gy/hCNE5u.jpg
-
ono by uplne stacilo aby pri platbe na google play store google posilal overovaci sms. Pro mne je dvoufaktorove overovani kvuli kazde blbosti otravne, nechci to. Asi to pochopil i google a hlida prihlasovani k uctu mj. pomoci geolokacnich udaju (ip adresa zeme ..)
cili pro uspesny utok utocnik nejdrive musi odhadnout z casti pred @gmail.com co za zemi bude asi majitel uctu a pokud zna heslo tak se prihlasit ze "spravne" ip adresy (treba pres proxy, vpn..)
-
Nevím jak ten dvoufaktor u googlu přesně funguje, neměl jsem čas si to nastudovat. Ale googlí účet mám jen kvůli telefonu, kde to je must-have. Na běžnou činnost ho nepoužívám a z okolí vím, že to je případ většiny lidí - prostě byli donuceni si účet udělat. Otázka je jak to je s dvoufaktorem když někdo ztratí telefon nebo mu ho někdo ukrade? Jak se pak přihlásím a dálkově ho vymažu, zjistím polohu? (což už jsem několika lidem dělal - předpokládat že má BFU Cerberus nebo něco podobného je nereálná). Pokud bych googlí účet opravdu používal, tak jak se pak k účtu dostanu( u banky třeba zajdu na pobočku a nahlásím změnu, jak to udělám u googlu, když třeba u předplacenky nebudu mít možnost získat stejné číslo)?
-
Ondra Satai NekolaZlatý podporovatel
Vytiskneš si backup kódy, zalepíš do obálky a tu vrazíš do trezoru. Nebo je nevytiskneš ale uložíš do LUKS kontejneru.
-
Ondra Satai NekolaZlatý podporovatel
A na to jsi přišel jak?
BTW možnost volat tísňové linky bez SIM a se zamčeným telefonem je v některých státech i zákonná povinnost
-
HornoUhorec (neregistrovaný)
Chromium: saving passwords for sites with self-signed certificates
https://docs.google.com/document/d/1nJIKDgiEkpCLm8PJxeFTi-q4Nbd2mjHEEFHtrprvA9k/edit#heading=h.6pmmhj9523us
https://bugs.chromium.org/p/chromium/issues/detail?id=431618 -
John Doe (neregistrovaný)
@google? Kdo to ještě používá!?! Když už chcete bezpečnost, tak jedině na https://protonmail.ch !!! :-)
ČLÁNKY DO MAILU
