Il "telefono di ripristino" dell'account Google ha qualche vantaggio se non dimentico la mia password?

4

Google consente di aggiungere un numero di telefono di recupero al tuo account perché:

Your recovery phone is used to reach you in case we detect unusual activity in your account or you accidentally get locked out.

Il fatto è che non sono sicuro di quali scenari hanno in mente, ma non vedo come potrei "accidentalmente" chiudermi o dimenticare la password di questo account. È il mio account principale; Lo uso quotidianamente. E per quanto riguarda "attività insolite", Google sembra solo inviare un avviso dopo che qualcuno ha effettuato l'accesso, non prima. Ma se qualcuno ha hackerato il mio account e ci ha fatto il login, ci vorranno altri 10 secondi per rimuovere il telefono di recupero, quindi quando realizzerò cosa è successo, il mio telefono sarà inutile.

Quindi la mia domanda è, se seguo le "corrette" pratiche di sicurezza (cioè le mie password sono forti, sto usando un gestore di password e 2FA, ecc.), allora dovrei davvero mai abilitato?
I vantaggi sembrano essere minimi se presenti, e gli svantaggi comparativamente enormi (ad esempio se qualcuno ruba il mio telefono , quella persona avrà un altro canale per attaccare il mio account Google).

    
posta Mehrdad 28.01.2017 - 07:54
fonte

2 risposte

1

Ricorda che il tuo account google non è solo la tua email. È tutto collegato al tuo account Google, forma dispositivi mobili, a varie applicazioni che stai utilizzando.

Quindi, potresti essere bloccato a causa di un'app o di un comportamento anomalo del componente aggiuntivo. come Ricevere, eliminare o scaricare grandi quantità di messaggi in un breve periodo di tempo. O allo stesso tempo accedere / sincronizzare la sincronizzazione di Gmail su molti dispositivi e / o client e / o posizioni.

Direi che la maggior parte del possibile scenario per il tuo caso è la digitazione errata della tua password in un'applicazione che continuerebbe a provare ad accedere (in particolare se sei nel mezzo dello sviluppo di questa app) per esempio.

Una seconda possibilità è se hai appena cambiato la tua password con una nuova intelligente che aveva un senso al momento, ma la mattina dopo non sei sicuro di avere un "." o "_" o niente del tutto. Anche se usi sempre il tuo account, presumo che tu sia come il resto di noi: non disconnetti il tuo account ogni volta che lo usi e non digiti la tua password in ogni momento.

Ora che ho affrontato la parte degli scenari della tua domanda, permettimi di affrontare l'immagine più grande qui:

Stai osservando il problema all'indietro: il tuo telefono è l'elemento di autenticazione fisico più importante della tua vita. Se viene perso o rubato E non lo hai bloccato / protetto da password, la persona che ha il tuo telefono (fino a quando non lo cancelli da remoto e lo blocca) fondamentalmente possiede la tua vita e non c'è nulla che tu possa fare al riguardo. Puoi cercare molti articoli sull'argomento. Per non parlare del fatto che se qualcuno ha usato il tuo telefono, ha già accesso ai tuoi account e-mail perché presumo che tu li abbia registrati automaticamente per il tuo telefono per controllare nuove e-mail, ecc.

Conclusione: avere il tuo numero di telefono per il ripristino non compromette la sicurezza perché se qualcuno ha accesso al tuo telefono sbloccato hanno già accesso ai tuoi account, non è necessario il numero di telefono di ripristino .... Se il tuo telefono è bloccato, non hanno nulla.

Un paio di note che vorrei aggiungere:

1) Le frasi "usa password manager" (come in un programma / servizio che salva le tue password) e "pratiche di sicurezza appropriate" (secondo me) non rientrano nella stessa frase. Se utilizzi un gestore di password hai già compromesso la tua sicurezza

2) Se si utilizza già 2FA, è già stato fornito il numero di telefono.

    
risposta data 03.11.2017 - 08:21
fonte
0

Sì, ci sono altri motivi per cui potrebbe essere necessario utilizzare le funzionalità di recupero dell'account.

Se il tuo indirizzo email e la password vengono visualizzati in un dump della password da qualche parte, (ad esempio riutilizzo della password, phishing, ecc.), Google probabilmente disabiliterà la password in modo proattivo e ti obbligherà a utilizzare l'opzione di ripristino secondario.

Inoltre, se le tue alternative 2FA si interrompono (il telefono viene lasciato cadere nel water, sei bloccato lontano dai tuoi codici di backup), avrai bisogno di un solido set di alternative di recupero: gli account con 2FA abilitati hanno requisiti di recupero più rigidi.

Credo (anche se non ricordo per certo) che Google abbia sia categorie di eventi "sospetti di accesso non consentiti" sia "rilevate attività sospette". Potrebbero attivarsi in attività sospette che non ha l'accesso: ad esempio, se invii un'email a tutti i tuoi contatti chiedendo loro di inviarti bonifici. Sarebbe molto sospetto. (Non so se lo rilevano, ma sembra abbastanza ragionevole da cercare).

    
risposta data 02.02.2017 - 09:38
fonte

Leggi altre domande sui tag