In che modo l'inserimento di un numero di telefono "a" aiuta Google "verifica che sia io?"

Naviga le tue risposte
7

Oggi ho provato ad accedere al mio account Google mentre ero all'università. Google ha bloccato il tentativo e ha chiesto un numero di telefono. Di seguito è riportato uno screenshot del modulo che Google mi ha mostrato.

Dice:

Verifyit'syou
Thisdeviceisn'trecognized.Foryoursecurity,Googlewantstomakesureit'sreallyyou.

Enteraphonenumbertogetatextmessagewithaverificationcode.

Ovviamente,Googlepensacheconoscerelamiapasswordnonsiasufficienteperdimostrare"sono io". Non ho un telefono, quindi non ho mai collegato alcun numero di telefono con il mio account Google.

Ciò che mi intriga è il fraseggio. "Inserisci un un numero di telefono" mi sembra come se accettasse qualsiasi numero. Ovviamente, poiché non ho mai collegato un numero di telefono, non hanno nulla per confrontare il numero inserito in quel campo. Ciò significa anche che non possono inviarmi un messaggio di testo con un codice di verifica.

Non capisco come questo migliori la sicurezza. Presumono già che potrei essere un aggressore che in qualche modo ha ottenuto la mia password, altrimenti mi avrebbero semplicemente permesso di accedere. Ma cosa impedirebbe a un utente malintenzionato di immettere qualsiasi numero di telefono nel loro controllo in modo che possa ricevere il codice di verifica? Supponendo che un utente malintenzionato possa conoscere la mia password, in che modo questo impedisce loro di ottenere l'accesso non autorizzato al mio account?

    
posta secretpow 30.04.2018 - 19:44
fonte

3 risposte

9

Sebbene sia stranamente formulato, ha senso dal punto di vista di Google, perché:

  1. Se le credenziali del tuo account sono mai compromesse, un utente malintenzionato sarebbe meno disposto a continuare a questo punto, a meno che non sia disposto a utilizzare un numero usa e getta ogni volta che hackerano l'account di qualcuno. (Che probabilmente non è redditizio.) Di certo non possono usare il loro numero di telefono effettivo in quanto le forze dell'ordine potrebbero potenzialmente rintracciarli. Questo potrebbe fondamentalmente funzionare per "verificare che sei tu".
  2. Consente a Google di iniziare a utilizzare 2FA con te in futuro. Ma dal momento che forzare la 2FA potrebbe essere disapprovato, forse hanno deciso che lo imporranno solo se effettui il login da un dispositivo sconosciuto.
  3. Riduce il numero di nuovi indirizzi email creati a scopo di spam. È più difficile ottenere numeri di telefono attivi piuttosto che ottenere indirizzi email, quindi costringendo un utente a associare un numero di telefono funzionante a cui ha personalmente accesso con il suo account, riduce il numero di indirizzi email di spam appena creati. Presumo che se si tenta di associare troppi account di posta elettronica con lo stesso numero, si verrà arrestati.
risposta data 30.04.2018 - 20:43
fonte
2

PSTN (rete telefonica) ha una traccia cartacea molto più spessa rispetto a TCP / IP, molti meno endpoint (#s vs IP), in genere richiede una registrazione $ + con una telco regolata dal governo (rispetto al wifi della caffetteria) e si estende la protezione legale delle intercettazioni (anziché solo l'hacking).

Tutti servono da scoraggiamento sociale agli attaccanti di basso livello, come un ex arrabbiato, ma probabilmente non proteggono tanto da sofisticati attacchi mirati. Più attacchi sono in realtà amatoriali / personali, quindi questa pratica riduce l'abuso degli utenti di Google e le azioni di contrasto che Google deve intraprendere. Se non ha risparmiato denaro Google, Google non si preoccuperebbe.

    
risposta data 01.05.2018 - 00:41
fonte
0

Ho il sospetto che il numero di telefono debba essere uno già registrato da Google associato al tuo account. Se inserisci un numero sconosciuto, niente utile accadrà. La strana formulazione è duplice; per gestire il caso che ci sono molti numeri disponibili e non per dirti quali sono i numeri sono.

    
risposta data 03.05.2018 - 21:35
fonte

Leggi altre domande sui tag

Esistono attualmente architetture che utilizzano l'isolamento del processo forzato dall'hardware? Cosa ci vorrà per aggiungerlo a x86? Documenti o materiale di sicurezza incentrati sui sistemi di controllo industriale (SCADA)