Qual è l'opzione di recupero dell'account Google più sicura?

Naviga le tue risposte
3

Ho un account Google con una password complessa e un sistema di autenticazione a 2 fattori, e mi preoccupo di cosa succederebbe se perdessi il mio telefono con l'app 2FA.

Voglio impostare un'opzione di ripristino e ho due possibilità:

  • Numero di telefono: ho leggi su utenti malintenzionati che violano il telefono servizio clienti delle aziende per compromettere il numero di telefono di vittime. È difficile per me fidarmi della mia compagnia telefonica con tutti i miei conti online, dato che hanno la reputazione di non prendere sicurezza sul serio,
  • Un altro indirizzo email: questa sembra essere l'opzione più sicura, ma lo è abbastanza ovvio che non dovrei impostare 2FA su questo account, che ridurrebbe la sicurezza del mio account principale ad una semplice password, che era esattamente ciò che 2FA dovrebbe evitare!

La mia idea è di creare un indirizzo e-mail che non abbia alcun collegamento al mio account Google principale, con una password molto strong (come nella password strong di Crypto-secure-RNG 256-bit) e di memorizzare la sua password in modo sicuro. È davvero più sicuro di un account senza 2FA?

    
posta Arno 11.04.2016 - 11:43
fonte

2 risposte

4

L'opzione più sicura è comprare due dispositivi U2F (circa $ 20 USD ciascuno), registrarli entrambi e metterne uno in una cassetta di sicurezza.

Gli SMS possono essere reindirizzati a voicemail (con forzatura brute password semplice) ed è suscettibile al phishing

Il TOTP è più sicuro ma è comunque suscettibile al phishing

U2F non è soggetto al phishing

Devi fornire il tuo numero di telefono prima con Google, ma puoi rimuoverlo dopo aver configurato i 2 dispositivi U2F. Devi anche utilizzare Chrome o un'estensione per Firefox

    
risposta data 11.04.2016 - 19:42
fonte
2

Ci sono diversi rischi da valutare in una situazione di recupero:

Per prima cosa hai i codici di backup che WoJ ti ha detto nei commenti. Dovresti stamparli e archiviarli sul tuo PC o da qualche altra parte come il tuo portafoglio (meglio in entrambi!). Se questi codici vengono persi non è un "grosso problema" perché quelli non garantiscono l'accesso diretto all'account, prima devi conoscere la password.

In secondo luogo, quanto pensi sia probabile e realistico che qualcuno possa falsificare la tua identità al tuo operatore telefonico in modo che possa ricevere SMS su un altro dispositivo che non ha la carta SIM? IMO a probabilità molto bassa, quindi è anche una scommessa sicura.

In terzo luogo, riguardo alla tua idea, è piuttosto brutto. Perché creare una sorta di UD)P(AS/P)BY AGOS&b8f7f67s9apf password che è necessario archiviare da qualche parte invece di creare una password di lunghezza semplice? Il link non invecchia mai. A differenza dei codici di backup, se questa password viene recuperata, avresti perso il tuo account, in quanto garantisce l'accesso diretto alla seconda email.

    
risposta data 11.04.2016 - 13:22
fonte

Leggi altre domande sui tag

Nebulosa level11: setuid non funziona DOM XSS funziona su pagine che non usano js?