Google внедрит двухфакторную аутентификацию для всех пользователей +7


AliExpress RU&CIS

Google собирается внедрить для всех пользователей Gmail и владельцев учетных записей других сервисов двухфакторную аутентификацию для защиты их данных.

Вскоре компания начнет по умолчанию регистрировать пользователей по системе двухэтапной аутентификации, даже если их учетные записи не настроены надлежащим образом. Узнать статус своей учетной записи можно в разделе «Проверка безопасности».

Пользователям предложат вводить дополнительный ключ безопасности Google Titan или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона.

По данным Microsoft, 99,9 % взломанных учетных записей, которые она отслеживает каждый месяц, не использовали многофакторную аутентификацию. Два года назад компания изменила базовый уровень безопасности Windows 10, который до этого рекомендовал корпоративным пользователям менять свой пароль каждые несколько месяцев.

Google же предлагала функцию менеджера паролей в Chrome. Теперь в браузере заметили экспериментальную опцию под названием «импорт пароля», которая позволяет пользователям импортировать пароли из файла CSV.

Ранее исследователи безопасности из NinjaLab рассказали об уязвимости в чипах для аппаратных ключей безопасности Google Titan и YubiKey. Ее эксплуатация позволяла хакерам восстановить первичный ключ шифрования для создания криптографических токенов и обхода операций двухфакторной аутентификации.




Комментарии (94):

  1. Jogger
    /#23013346 / +1

    Как всегда, под видом улучшений гугл собирает номера телефонов (у тех, у кого ещё не собрал по какой-то причине). Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.

    • apapacy
      /#23013372 / +1

      Я долго боолся. Потом был какой-то срочный момент. Или митинг с клиентом или проблемы на сервере. Мне срочно понадобился логин в облако. тут облако присылает мне на мейл ОТП код. Я иду на мейл и читаю издевательское сообщене. "Мы обнаружили подозрительную активность на Вашем экаунете. В целях Вашей же безопасности Вы должны сообщитьнам свой номер телефона" То что они сделают 100% обязательным это только дело времени. Наверное прочитывали сколько при этом клеинтов они потеряют. очень надеюсь что всех.

      • Ark1774
        /#23013676

        Почтовые сервисы этим уже давно занимаются.

      • sumanai
        /#23014102

        Ну так какие проблемы, у меня сегодня потребовал, первый сервис приёма СМС из гугла и второй номер в нём. И плевать, что номер украинский, а я когда-то уже вводил таким же способом другой номер. Б -Безопасность.

      • MTyrz
        /#23014658

        Доверяйте облакам, облака — это надежно.
        [/sarcazm]

      • STingerOid
        /#23015960

        Я в свой первый рабочий день на нынешней работе так и не смог залогиниться в гугл-акк с рабочего компа. Несмотря на правильный пароль, гугл мне писал что-то вроде «вы логинитесь с какого-то нового подозрительного места, мы вас не пустим, пока вы не подтвердите что-то», уже не помню что. При этом у меня есть домашняя виртуалка, я через нее залез, подтвердил что этот новый логин действительно мой, пошарился по всяким настройкам безопасности, чтобы понять как отключить эту «суперповышенную безопасность», ничего не нашел. Пришлось этим днем пользоваться акком через свою виртуалку. Но на следующий день почему-то пустило в акк безо всяких проблем.

        • alkoro
          /#23027748

          >как отключить эту
          myaccount.google.com/lesssecureapps
          Я искал и нашёл, когда после 2хмесячного простоя не проверял почту (thunderbird). Подконтрольных аккаунтов у меня штук 8, так вот все заблокировались, и google самовольно отключил pop3. Пришлось искать окончательную ссылку.
          зы.Они вводят 2FA, как тогда будет работать простой POP3S?

    • vmkazakoff
      /#23013516

      Так речь не про смс. Да и зачем ваш номер Гуглу? Ладно ещё Яндекс с Мейлом, с ними понятно.

      У меня номер поменялся лет 5-6 назад (старый остался, но не основной) и за это время Гугл ни разу не прислал ни единой смски. Всегда авторизация проходила или по одноразовому коду из аутентификатора (приложение где коды меняются раз в минуту), или по нажатию на кнопку "да" на экране смартфона. Без второго фактора я лично считаю любой аккаунт не защищённым.

      Причем настроил аутентификатор с меняющимися паролями я до того как указал свой номер, не уверен, но мне кажется что и сейчас так можно. Как минимум вижу такую опцию для другого своего аккаунта.

      Так что никто ваш номер не пробует получить, нужен именно телефон как устройство, а не телефон как номер.

      • apapacy
        /#23013532

        Ну вот аутентфикатор. Как вы думаете, этот аутентификатор не знает о Вас больше чем нужно?

        • Kanlas
          /#23013556

          А что он может знать?

          • tmin10
            /#23014114

            Он знает текущее время, конечно же!

        • vmkazakoff
          /#23013606 / +1

          Вы, верно, и не поняли даже о каком аутентификаторе речь и что там за технологии.

          Если что - у меня authy опенсорсный, у него разрешений примерно ноль. И в нем не только Гугель, но и несколько других аккаунтов, в которых я считаю важным включить 2ФА.

          • interprise
            /#23013864

            Не нашел сорцы authy, вы уверенный что он открытый?

            • vmkazakoff
              /#23013912

              Бес попутал, а исправить не могу. Спасибо что заметили! Я конечно же подумал про одно, написал другое. Authy не опенсорс (но у меня он), но есть OpenOTP и масса других решений уже опенсорсных. Алгоритм внутри не отличается (технология одна), но опенсорс всяко лучше.

      • dimakey
        /#23013590 / +1

        А Как быть в случае утери устройства? Читал как люди ставили Близзардовское приложение-аутентификатор, а потом при утоплении телефона прям максимальный гемор для восстановления доступа.

        • vmkazakoff
          /#23013796

          Ключик то можно было б и сохранить ))

          А обычно там все как и с потерей пароля - всякие секретные слова, старые пароли, вспомнить на что был похож пароль, фото с паспортом на фоне своего ковра аккаунта... конкретно у Гугла ещё есть специальные защитные коды - их, если совсем никак, можно и на бумажку выписать.

        • tmin10
          /#23014118 / +1

          Обычно к нему прикладывается лист одноразовых паролей, по которым можно восстановить доступ. Предполагается его печать и хранение в надёжном месте. Ну и ключи сохранить можно, да.

        • dartraiden
          /#23014796

          При настройке аутентификатора любой уважающий себя сервис предлагает сохранить резервные коды или seed. Близзы при настройке явно пишут «вот этот код очень важно сохранить в надёжном месте, он поможет при утере аутентификатора настроить новый». Но люди, как обычно либо игнорируют, либо сохраняют резервные коды на том же устройстве, что и аутентификатор.

      • sumanai
        /#23014104

        Да и зачем ваш номер Гуглу?

        Его спросите.
        нужен именно телефон как устройство, а не телефон как номер

        Пока я видел только поле для ввода номера.

        • Ileots
          /#23014210

          Номер потом гугл вроде разрешает удалить из аккаунта, по крайней мере 2 года назад я удалил у себя - пришлось сначала номер указать, да...

          • VitalKoshalew
            /#23014568

            Номер потом гугл вроде разрешает удалить из аккаунта

            Поправка — Google позволит занести 1 в какое-нибудь поле bIsDeleted.

            • Ileots
              /#23014660

              Вы правы, если вдруг надо будет восстанавливать доступ, надо будет указывать максимум информации, прошлые пароли и тп, наверняка окажется, что гугл и этот номер помнит...

          • s7329
            /#23015938

            Месяц назад так делал.
            Интересно, если я удалил из почты номер телефона, так как аккаунт шареный (с целью дать доступ к определенным сервисам гугла команде и не использовать при этом персональные аккаунты), то придется тоже номер теперь привязывать обратно?
            Или я может неправильно сделал с этим шаренным аккаунтом. Может кто что-то посоветовать?

            • Ileots
              /#23016664

              Телефон я удалил уже после настройки 2sa.

              Вам телефон опять временно придется привязать (раз без него никак), настроить 2sa на гуглаутентификатор и снова его удалить

      • sumanai
        /#23014116

        Без второго фактора я лично считаю любой аккаунт не защищённым.

        Главное чтобы этот второй фактор не мог превратится в единственно необходимый.
        не уверен, но мне кажется что и сейчас так можно

        Как минимум в куче российских сервисов нельзя, проверял.

        • vmkazakoff
          /#23014148

          Так. В статье речь только про Гугл. Нашими сервисами я стараюсь не пользоваться, а если пользуюсь, то уж точно не дорожу паролями.

          Только что проверил - моему второму акку предлагают все возможные способы второго фактора. Никакого принуждения к вводу номера. Может быть если я всё-таки включу, то попросит, я не хочу проверять - это общий аккаунт и у других доступ слетит.

    • dblokhin
      /#23013520

      Это у вас, параноиков, гугл-аккаунт только ради того, чтобы приложения поставить из плей маркета. Есть целый мир, в котором у людей на гугл-акк завязано работа в самом серьезном смысле слова, образование, связи, личная переписка. Вам-то этого не знать, вы в своем Signal или жабере сидит и горя не знаете.
      Ага. Гугл собирает базу телефонов, йопта.

      • apapacy
        /#23013546

        Не только телефонов. Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно? Ну например если Вы в России то не только Ваш а всех. По некоему санкционному списку стран. А пока конечно можно прикалываться над Эльбрусами.

        • Kanlas
          /#23013558

          А как отсутствие номера телефона поможет от блокировки аккаунта? И при чем тут Эльбрусы?

          • tvr
            /#23013918 / +1

            И при чем тут Эльбрусы?

            Мастер приплёта 80 lvl, рефлекс.

        • dblokhin
          /#23013604

          Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно?

          Как-то ограничено государственными границами РФ. И причем здесь это как аргумент против двухэтапки, непонятно.

        • C_21
          /#23013920 / +1

          Вот смотришь карма 35, 43 публикации, рейтинг все дела, а человек несет херню про санкции и блокировки и расово верный Эльбрус.
          Пусть у меня карма -30, так я несу чепуху то про толерастов, Роскомнадзор — который у всех в печенках, про режим который на колени ставит рунет.
          Зато человек патриот, а я так мимо тут проходил и иногда ляпну в невпопад.
          Вот этот камрад скорей всего над блокировками работает и сидит на зарплате. Иначе такую херь про ненавязчивое импортозамещение я понять не могу.

          • Black_Spirit
            /#23015062

            Тут на Хабре работает группа товарищей. После моих нескольких комментариев по поводу прелестей Роскомнадзора, у меня систематически снимают карму даже после высказываний на нейтральные темы.

      • Dolios
        /#23014056

        Очень недальновидно завязывать всю свою жизнь на 1 компанию (пусть и хорошую), которая может вас в любой момент забанить без объяснения причин.

        • dblokhin
          /#23015594

          MS/Amazon/Яндекс/мэйл тоже может заблокировать без объяснения причин ваш акк, на котором, допустим, работает облако из 100 машин. И что вы предлагаете? Сделать распределенную сеть из нескольких облаков, чтобы в случае гипотетической блокировки в одном облаке "ваша жизнь" продолжалась?

          • Dolios
            /#23015742

            Не могу не минусануть этот шизофренический бред весеннего обострения.

            ...


            Просто профанический бред на уровне "я пользователь Gmail, телега лучше", не имеющий логической связи.

            У вас там все хорошо? Ну и, некрасиво так редактировать сообщения. Если уж начали оскорблять собеседника, имейте яйца.

            • dblokhin
              /#23015782

              Я просто подумал о том, что слишком жестко отписал. Из уважения отредактировал, чтобы не скатываться на личности. Если вам интересно, то, я при своем мнении. Вы написали бред оторванный от мира.

      • sumanai
        /#23014106

        Это у вас, параноиков, гугл-аккаунт только ради того, чтобы приложения поставить из плей маркета.

        Это неправильные параноики, не советую равняться на них. Правильные параноики используют F-Droid на самолично собранной LineageOS.

        • bgBrother
          /#23014156

          Правильные параноики используют F-Droid на самолично собранной LineageOS
          Подозреваю, что правильные параноики перестали пользоваться сотовыми телефонами. Ну или Librem и аналоги с выключенными модулями связи, но вряд ли.

          • sumanai
            /#23014458

            Разные степени паранойи. Настоящие параноики улетели в другую солнечную систему, тут ловить уже нечего.

    • gsaw
      /#23013754

      Там не обязательно задавать номер телефона, можно и просто устройство андроид настроить для подтверждения. Раньше да, когда этого не было, я вводил номер телефона. Пару раз был за границей с рюкзаком. И иногда приходилось логиниться в стрёмных интернет кафешках, что бы купить и распечатать билеты к примеру. Двухэтапная аутентификация все же лучше в таком случае, если там какие ни будь кейлоггеры установленны.

      • X86X
        /#23015942

        Так устройство на андроиде и так номер телефона уже знает. И не только его, а кучу другой информации.

        • gsaw
          /#23016086

          Ну это да, андроид знает. То есть вы думаете приложение при аутентификации шлёт все мои персональные данные, ну или по крайней мере мой номер телефона google?

    • BlackMokona
      /#23014128

      Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.

      Т.е процентов для 90 клиентов, учитывая как сильно распространены подобные супер простые и очевидные пароли

    • Elfro
      /#23014292

      Здесь хоты бя требуют только номер. Яндекс же вообще блокирует аккаунты под предлогом «замечена подозрительная активность», и пока фоточку паспорта не пришлешь, доступ не получишь. А потом новость «Сотрудник «Яндекса» слил данные почти 5000 пользователей почты». А сколько таких фоточек было нарисовано, и сколько ящиков таким образом вломано — никто не знает. И в отличие от идентификации по IP или номеру, с фоточкой потом концы с концами не свяжешь. Но очевидно персональные данные для Яндекса важнее безопасности данных пользователей, чего я не могу сказать про гугл.

      • sumanai
        /#23014464

        Фоточек вроде ни разу не требовал, только телефон.

      • Ark1774
        /#23016566

        Я для подобных случаев дополняю фотку/скан, бумажкой поверх. С надписью кому именно и когда предоставлено. В случае утечки можно не искать крайнего, но что «удивительно», данные фотки ни разу не утекали.

  2. Busla
    /#23013406

    Вам «чёрным по белому» написали что аутентификация двухэтапная, а не двухфакторная.

    • OnYourLips
      /#23013440 / +1

      Я думаю, что СМС нельзя считать отдельным фактором: они не являются доказательством механизма аутентификации (могут быть перехвачены кем угодно из-за уязвимостей SS7) в отличие от доказательства владения (аппаратные устройства) или знания (пароли).

      • Busla
        /#23014184

        Придерживаюсь того же мнения в отношении СМС, но зачем вы мне это пишите?

    • dartraiden
      /#23014810

      Тем не менее, она может быть и двухфакторной, если вместо SMS выбрать генерацию кодов аутентификатором, либо аппаратный FIDO-ключ. При этом, Google и в этом случае будет называть её «2-Step». Так что, напиши автор «двухэтапная», можно было бы всё равно придираться.

      • Busla
        /#23015288

        Нет — двухфакторная — это разновидность двухэтапной.
        И если SMS — спорный второй фактор, то «генерация кодов аутентификатором» — это однозначно не новый фактор — это тупо второй пароль, просто передаётся посоленным и захэшированным.

        • dartraiden
          /#23015290

          Генерация кодов доказывает владение устройством, на котором установлен аутентификатор.

          Пароль — это то, что я знаю. Устройство с аутентификатором — это то, чем я владею. Способ доказывания владения не столь важен: это может быть генерация и последующий ввод кода. Это может быть нажатие кнопки «да это я» на экране. Наконец, это может быть спаривание с ПК по блютусу или втыкание в USB-порт (YubiKey и прочие аппаратные ключи, даже смартфон можно превратить в аппаратный ключ).

          • Busla
            /#23015906

            То что вы фактор знания (пароль) записали на разные «листочки», не делает эти листочки фактором владения.
            Факторы — они не про сиюминутный способ использования, они про весь жизненный цикл. Нельзя один фактор превратить в другой. Хранение пароля в KeePass на компьютере не делает компьютер фактором владения; хранение пароля TOTP в Google Authetnticator в телефоне не делает телефон фактором владения.
            Фактором владения может быть железка со сгенерированным внутри неё неизвлекаемым ключом. Потому что этот ключ никогда не был паролем в открытом виде, нигде не отображался и никуда не передавался.

  3. klim76
    /#23013514

    то есть людей не имеющих телефона по мнению гугла не существует

    • dblokhin
      /#23013522

      Если у человека в повседневной жизни нет телефона, то о гугле он и подавно не слышал. А вообще, они годами исследуют проблему аутентификации, и пришли к выводу, что пароли есть зло в любом случае. Кстати, об этом где-то пару лет назад статья была на хабре.

      • apapacy
        /#23013548

        Я был одним из первх польщователей gmail и при этом пока была возможность работать без телефона работал без мобильного телефона. Конечно люди очень быстро подсаживаются на технологии.

    • Kanlas
      /#23013544

      А что гугл потеряет без них? Таких людей единицы и вряд ли они являются активными пользователями его продуктов

    • DrPass
      /#23013602

      Я сильно сомневаюсь, что в 2021-м году количество людей на всей планете, у которых нет телефона, но зато есть гугловская учётка, наберётся больше десятка.

      • Vinchi
        /#23013970

        Их вполне может быть миллиард

        • DrPass
          /#23014200

          Да, а Земля под ними плоская, не иначе.

      • geher
        /#23015194

        Таких людей может быть и совсем мало, но очень много таких, у кого гугловская учетка есть, и телефон есть, но они, мягко говоря, совсем не горят желанием давать гуглу свой телефон.

      • DarkTiger
        /#23015276

        Знаю таких лично и не одного. Весьма умные товарищи, справедливо полагающие, что если кому-то с ними сильно нужно пообщаться в реалтайме, этот кто-то поставит себе jabber клиента и свяжется. Ну или придет туда, где им удобно.
        А поскольку 99% их коммуникации — это когда другим нужно что-то от них, а не наоборот (люди реально умные и при этом на руководящие позиции не лезут), они чувствуют себя без телефона вполне комфортно и имеют кучу свободного времени, которое инвестируют в себя же.
        Дональд Кнут вообще отвечает на письма раз в год, и ничего, живет как-то.

        • DrPass
          /#23015488

          Т.е. они пользуются компьютером, но не пользуются звонками, навигацией, услугами банка, не читают в дороге книги, не смотрят новости, не слушают музыку? У них нет супругов/детей, или есть, но они им совершенно безразличны, и они никогда с ними не общаются, кроме как если вживую встретились?
          Извините, но я вам не верю :) В то, что они просто никому за пределами своей семьи не дают свой номер телефона, вот в это я верю, сам немало таких людей видел, и вполне их понимаю. Но что у них телефона нет, это какой-то уж слишком жёсткий дауншифтинг, так действительно не бывает.

          • Dolios
            /#23015762

            навигацией, услугами банка, не читают в дороге книги, не смотрят новости, не слушают музыку?

            Справедливости ради, телефон для перечисленного не обязателен. Как и для общения. У меня вот телефон есть, но я его таскаю больше по привычке. Навигация в машине есть, а все остальное с компьютера или планшета без сим карты. А книги бумажные предпочитаю. Я бы вообще отказался от мобильного телефона, если бы не привычка некоторых (включая госорганы) использовать его как обязательное условие для получения каких-либо услуг.

          • 0xd34df00d
            /#23015804

            У меня есть смартфон в виде тушки (целых три даже), но нет ни одной сим-карты, куда можно было бы принимать звонки или смс. Я не пользуюсь звонками, навигация — вайфай в машине, услуги банка — с десктопа, читать в дороге можно без симки, новости — интернета достаточно, музыка — с хардварного плеера.


            Не могу сказать, что испытываю неудобства.

            • DrPass
              /#23016006

              А зачем вам три тушки смартфона? :)

              • 0xd34df00d
                /#23017030

                Так исторически сложилось. Был SGS 8+, он меня достал тем, что от него просто пахло закрытостью и невладением. Поэтому в 2018-м я купил OnePlus 5T, который до поры до времени был моим основным смартфоном. А потом прошлым летом я заказал Cosmo Communicator на поиграться — люблю всякие такие железки.


                При этом все мобильники рабочие и в хорошем состоянии, не выкидывать же их. А с огороженного самсунга можно и книжку на ночь почитать с огороженного киндла.

    • svob
      /#23013612

      И если там будет привязка к некоему приложению, то телефон не просто должен быть в наличии, но и должен быть более-менее современным. Потому что приложения на каком-то этапе перестают обновляться, но требуют обновлений — и еще требуют версию ОС «не старше такой-то».
      То есть для пользования аккаунтом всем потребуется регулярно менять модели телефонов.

      • dartraiden
        /#23014822

        Потому что приложения на каком-то этапе перестают обновляться, но требуют обновлений.
        Приложений, реализующих генерацию кодов по стандарту TOTP, полно, обновлений они не требуют в обязательном порядке.

        Можно даже использовать кнопочный телефон с J2ME при желании.

        Google здесь очень большой молодец, что использует стандартный TOTP. В отличие от Яндекса, например, запилившего свой алгоритм, который поддерживается только их собственным аутентификатором.

  4. Kanlas
    /#23013540

    или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона

    Так привязка к номеру телефона или к смартфону?

    • apapacy
      /#23013560

      А собственно какая разница. В любом случае гугл свяжет одно с другим как автор операционной системы, владелец сервисов по пуш-сообщениям, владелец сервисов по авторизации. Ему даже вообще ничего не нужно делать. Чтобы загрузиь прилоение из стора Вам нужно авторизоваться. Потом разработчик приложений логинит Вас через ОТП и вот номер телефона в карамане у гугла связке с Вашей почтой.

      • Kanlas
        /#23013578

        Разница в том, к чему аккаунт будет в результате привязан. К номеру или к устройству

      • mukhinid
        /#23015936

        В любом случае гугл свяжет одно с другим как автор операционной системы

        Сомневаюсь, что ему это удастся в случае использования LineageOS.

    • gsaw
      /#23013740

      И к номеру и к телефону. Вернее там есть эти два варианта. Причем можно задать несколько устройств и несколько телефонных номеров. У меня один привязанный старый телефон в тумбочке дома лежит, на всякий случай. Двухэтапную аутентификацию я давно уже использую.

  5. LexaZ
    /#23013910

    корпорация добра все еще причиняет добро…
    то есть, мой к9 отправится на пенсию что ли?
    Одни эмоции, в общем.

    • dartraiden
      /#23014862

      Для вашего k9 нет аутентификаторов, поддерживающих TOTP?

      • LexaZ
        /#23015662

        Похоже, что нет.
        Максимум, там шифрование и возможность подключить webDav аккаунт.
        Жаль, ибо, имхо, один из очень не многих, кто не отправляет лишнего трафика в не нужные направления.

        • dartraiden
          /#23016436

          После включения двухфакторной авторизации, создайте пароль приложения и используйте его в K9 вместо пароля от аккаунта.

          Пароли приложений существуют именно для устаревших приложений, которые не поддерживают 2FA.

  6. S-e-n
    /#23013936

    Soon we’ll start automatically enrolling users in 2SV if their accounts are appropriately configured.
    Вот, что говорится в оригинале.

  7. Dolios
    /#23014044

    Кто-нибудь может объяснить, как это работает? Вот есть у меня компьютер, на нем линух и тандербёрд, который забирает и отправляет почту. Заглянул сейчас в настройки и не нашел ничего про двухфакторную аутентификацию.

    • sumanai
      /#23014110

      Для Mozilla Thunderbird скорее всего настроен отдельный пароль приложения с доступом только к почте. А при настройке вообще открывается логин в гугл, и Thunderbird скорее всего сам получит пароль приложения.

      • Dolios
        /#23014130

        Нет никакого отдельного пароля, конфигцрил, как написано [тут](https://support.google.com/mail/answer/7126229?visit_id=637560815917867424-2268361422&hl=en-GB&rd=1)

        • bgBrother
          /#23014172 / +1

          Нет никакого отдельного пароля
          Аутентификация по второму фактору у вас настроена? Если нет, то и не удивительно, что работает.

          конфигурил, как написано [тут]
          Чуть ниже на странице есть пункт «I can't sign in to my email client», открыв который вы увидите предложение «Use an app password», о котором sumanai и говорил. При 2fa без app password войти не получается, судя по моей практике. Очень часто пароль приложения нужно генерировать самому, зайдя в веб-версию почтовика (oAuth вход, о котором выше речь, не у всех почтовиков реализован и работает).

          • Dolios
            /#23014218

            Еще вопрос, если вы не возражаете, вы явно в курсе :)


            Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления? А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?

            • bgBrother
              /#23014248 / +1

              Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления?
              Да, конечно. «Пароль приложения» можно представить себе как некий сессионный токен, который вы получили после «ручной авторизации». Везде где его будете использовать — будет работать.

              А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?
              Да, и не только через браузер. «Обычного» пароля уже будет недостаточно.

              При этом, разные почтовые сервисы по разному реагируют на изменение «обычного» пароля — некоторые сбрасывают все «пароли приложений», а некоторые — нет. Первый вариант более корректный.

              Еще нужно учитывать, что злоумышленное ПО может украсть этот «пароль приложения» и может получить доступ к содержимому ящика (зависит от политики сервиса, т.к. проверяются различные технические параметры: регион по IP-адресу, тип устройства, идентификатор устройства).

  8. SagePtr
    /#23015674

    У Google есть очень странная особенность — он не позволяет добавить TOTP как основной метод двухфакторной аутентификации. Для того, чтобы добавить TOTP, нужно сперва добавить или номер телефона, или залогиниться с андроида, или аппаратный ключ. Причём ни Webauthn-эмулятор, встроенный в Хром, ни Windows Hello в роли аппаратного ключа не годятся. Эмулятор, встроенный в Firefox, подошёл для этих целей, но благодаря этому багу это работает только в старой версии Firefox или старой версии Windows. После того, как ключ добавлен, можно добавить нормальный TOTP, а ключ удалить.

  9. AHDAPK
    /#23016224

    если двойную авторизацию не обязательно будет делать , то норм. просто у некоторых только смартфон и второго гаджета не имеется .

  10. Ogenrieta
    /#23025508 / -1

    Google внедрит двухфакторную аутентификацию для всех пользователей — для сбора номеров телефонов или имеет намерение на самом деле улучшить защиту их данных, в этом и состоит вопрос:
    «Вы можете этого не осознавать, но пароли — самая большая угроза вашей сетевой безопасности — их легко украсть, их трудно запомнить, а управлять ими утомительно.»

    Настолько утомительно, что «Недавно мы запустили нашу новую функцию импорта паролей, которая позволяет людям легко загружать до 1000 паролей за раз с различных сторонних сайтов в наш Менеджер паролей (бесплатно).
    Сделав этот шаг, вы можете быть уверены, что все ваши пароли защищены нашей передовой технологией безопасности и конфиденциальности.» — и доверили козлу сторожить в огороде капусту, а волку пасти овец.

    А можно ли реально улучшить защиту данных не задействуя смартфоны, и не усложняя пользователям общение с Gmail, или любым другим почтовым сервисом, любым серьезным сайтом?
    Не вдаваясь в подробности реализации хочу предложить к рассмотрению свое решение проблемы динамически защищенной авторизации пользователей, внешне ничем не отличающееся от привычных логина и пароля, адрес демо: key.mywebcommunity.org
    которое тем не менее практически исключает появление подобных сообщений: «Мы обнаружили подозрительную активность в Вашем аккаунте...».

  11. Ogenrieta
    /#23029528 / -1

    В мире утверждают новые правила по укреплению кибербезопасности, разрабатывают новые средства киберзащиты, которые затруднят противникам компрометацию сетей и работу во взломанных сетях, ведут речь о двухступенчатой аутентификации, шифровании, контроле входа в систему.
    Однако когда реально предложена новая идея с действующим образцом, который может продемонстрировать новый уровень безопасности, от нее отмахиваются даже не вникнув в суть происходящего.
    Казалось бы, ты специалист, программист, ты можешь понять в чем проблема со взломами,
    но над тобой довлеет догма что все что попало в интернет можно расшифровать, а ты попробуй, вот возьми и докажи что эта новая система вовсе не является новой, что такую систему хоть кто то, хоть где то использует в интернете, и самое главное докажи что ее можно взломать, а не просто сидя в кресле у камина в Санкт Петербурге поставить минус моему комментарию, всего лишь пару раз перезагрузив демо страничку и так ничего и не поняв и не удосужившись заглянуть в Sources, Console, Application любезно предоставляемые Chrome (F12), а еще лучше так и предложи свою разработку по укреплению кибербезопасности, чтобы различные варианты можно было сравнить и выбрать лучший, и безопасный и удобный пользователю и не требующий дополнительных денег на приобретение смартфонов со сканированием радужки глаз и отпечатков пальцев с ежесекундным тотальным слежением за перемещениями человека.