Le chiavi FIDO U2F (come i dual Yubikeys o le doppie chiavi di Google Titan) sono indebolite dal processo di recupero dell'account Google?

7

In base alla pagina di informazioni di Google qui: link

If you don’t have another second step or forgot your password

Note: 2-Step Verification requires an extra step to prove you own an account. Because of this added security, it can take up to 3-5 business days for Google to make sure it’s you trying to sign in.

Follow the steps to recover your account. You'll be asked some questions to confirm it's your account. Use these tips to answer as best you can.

You may be asked: To enter an email address or phone number where you can be reached. To enter a code sent to your email address or phone number. This code helps make sure you can access that email address or phone number.

Questo sembra indicare che anche se ho due chiavi Google Titan (due sono necessarie per il Programma di protezione avanzata di Google), qualcuno può semplicemente compilare un modulo per richiedere che le chiavi vengano perse e quindi ottenere l'accesso se possono intercettare accesso ai testi inviati al mio numero di cellulare. Questo sembra indicare che l'attaccante può solo aspettare che pensino che sono in vacanza e che non presta attenzione e quindi accedere al mio account?

C'è un modo per bloccare l'account in modo che il mio provider di cellulari non sia il link più debole?

    
posta knaccc 11.10.2018 - 00:25
fonte

2 risposte

2

Dopo tutto, Google decide di recuperare il tuo account o meno. Quindi da un punto di vista logico non puoi bloccare l'account, perché non hai il controllo definitivo sull'account.

Puoi rispondere a molte domande sulla sicurezza e sperare che google o l'helpdesk di google ti farà tutte le domande e deciderà saggiamente. Ma dopotutto non è nelle tue mani.

Non sembra che Google consentirebbe di avere un account irrecuperabile.

Quindi sì, l'autenticazione e anche l'autenticazione a due fattori è valida solo come i processi, in questo caso il processo di recupero. E se hai un processo di recupero scarso, anche il 2FA è scadente.

    
risposta data 04.12.2018 - 00:04
fonte
1

Non ho mai attraversato il processo, ma da quello che posso dire questa è l'ultima opzione di recupero. Google è consapevole di questa minaccia e probabilmente ha modi per mitigarla. Detto questo, il processo è abbastanza opaco per quanto posso dire. I 3-5 giorni sembrano indicare che fanno una sorta di revisione manuale, probabilmente chiamarti e prova a vedere se hai conoscenza delle informazioni sull'account. Dovresti provare e vedere cosa succede, quindi faccelo sapere.

    
risposta data 29.11.2018 - 07:38
fonte

Leggi altre domande sui tag