Google i forsiranje 2FA?
 

Došao mail od stričeka gugla da forsiraju 2FA autentikaciju kroz nekoliko dana.
Ima netko iskustva oko toga, pristup accountu, čitanje gmaila i sl.?

Izguglao ovo:
https://support.google.com/accounts/...t-delete?hl=en

Kakav pristup accountu, citanje gmaila?

Kod logina ukucas password kako si i prije, i samo ti dolazi na mobitelu popup (ili neka druga metoda) da potvrdis login da si to stvarno ti. Stisnes yes i to je to.

meni kad se logiram na kompu na kojem nisam nikad prije, prikažu neki nasumični broj, i na mobu dobijem poruku s 3 broja, od kojih moram odabrati onaj koji mi piše na kompu (sigurnosna provjera).. laganica

ako ne želite 2fa, zašto ste guglu dali broj mobitela in the 1st place?

Ne radi se o pitanju securitya, svjestan sam prednosti i nedostataka 2FA. Jednostavno ne želim da mi popi*de sve aplikacije koje pristupaju google accountu na bilo koji način :)
A ništa, vidjeti ću kako će ići kad se to uključi.

Just do it. Cim vise sigurnosti tim bolje, ja svugdje 2FA koristim i nikakvih problema.

Just do it će malo pričekati izgleda.
Maloprije sam pokušao uključiti 2FA i ne ide - na registrirani broj mobitela ne dolazi SMS. :lol2:

E da koriste infobip :D

Microsoft izbacuje vec neko vrijeme "insecure authentication" za custom aplikacije, vjerojatno ce i google uskoro tim putem, pa će trebati dodavati app u Google i autenticirat se key pairom ili slično .

Opet priča upakirana u "povećanje sigurnosti" a u pozadini je povezivanje sa mobom > brojem > osobom.

Ma povezan je ionako account s brojem čim se aktivira gugl acc na mobitelu :)

2FA ne mora imati veze s mobom - ja imam Authy s TOPT kodovima

Neće, možeš u postavkama generirati kodove za pristup drugih aplikacija, npr. Thunderbirda ili nekog drugog mail klijenta. Onda se tu ne traži 2FA.
Za sve ostalo instaliraj na mobitel Aegis authenticator koji je open source i za razliku od većine TOTP generatora ovaj ima i opciju da eksportiraš postavke pa ih možeš backupirati. Ako ti se mobitel izgubi ili krepa samo vratiš postavke u novi i ideš dalje. Authy svakako preskoči jer te pokušava zaključati u svoj ekosustav i ne da ti eksport seedova za TOTP.

Nekako je uspjela doći SMS poruka pa sam prebacio na 2FA.
Thunderbird i kalendar sam za početak prebacio na OAUTH i sad radi, kako će dugo, ne znam. Ako crkne, vidjeti ću onda za kodove :)
Imam na mobu google authenticator, što fali toj aplikaciji?

Osim sto radi svoj posao kao i svaka druga, to je valjda zadnji izbor aplikacije te vrste. Nema export/backup opciju i afaik jos uvijek nema zastitu kod otvaranja appa. Nisam jednom unosio 10ak 2FA accounta u taj app i konacno rekao "fak this shit, mora postojati nesto bolje od ovoga".

Night, hvala za ovaj app gore. Kao dugogodisnji Authy user ovo ce se svakako probati.

Ima eksport preko QR koda na drugu aplikaciju/mobitel, ali samo dok je aktivna. Ne možeš napraviti eksport pa ga nekamo backupirati.

E ti ga stvarno isto lupetas...

Tebi i ostalima koji mislite da je "export/backup" opcija dobra stvar - to je upravo ono sto takav komad softvera *nikako* ne bi smio imati.

Bas nista.

Ali ako te pati, imas valjda desetke raznih FLOSS rjesenja za HOTP/TOTP dostupnih na GitHubu jednostavnim pretrazivanjem.

Bogu hvala na 2FA na Guglu, koliko ljudi zaboravi password pa ga možeš resetirati preko mobitela, onako bi bilo izrada novog akaunta i 4 sata posla...

Nije potrebno imati 2FA za to što ti spominješ i to su dvije odvojene stvari.
Ja sam u postavkama googla dodao broj mobitela za oporavak kao i drugu e-mail adresu, ali nemam aktiviran 2FA niti planiram aktivirati.

Cijenim tvoje postove, al ovo je krivi zaključak na so many levels. MFA je must danas, i bilo bi žalosno da ne forsiraju. Pogotovo što se masa drugih aplikacija oslanja na google login.

Kome ne pase > Nextcloud. I onda s vremenom covjek skuzi da kad su vlastiti podaci u pitanju zelis paranoid stupanj sigurnosti vlastitog servera koji je izlozen netu :lol2:
P.S.- to onda i 2FA ukljucuje ;)

A šta im preostaje nego forsirati 2FA u ovakvom svijetu?

Imam 2FA za login u Windoze. O čemu pričamo? :)

Mi smo u firmi prešli na passwordless. Nemam password već 6 mjeseci. Najbolja stvar ikada.

Awww!

Nama jos forsiraju bitlocker pass + tromjesecni win pass rotation. Nije ni cudo sto su nam login passwordi (postali) glupi. Samo da bi upalio komp moram 4-5 puta ukucati neki pass.

Ovo je cool. Vjerujem da imate dosta aplikacija koje koriste SSO. To ste isto složili passwordless?


Da..nekad je i meni tak bilo. Bitlocker + svaka tri meseca "novi" pass gdje sam imao neki pass i samo mijenjao broj. :D Safety first. :D

Kada razmislim, ne sjećam se da ima nešto što nije onboardano. Čak i vanjske aplikacije koje koristimo su onboardane.

Od svih tih korporativnih/sekjuriti/nekihtrećih stvari koje su nam svakodnevno pain in the ass, ovo je jedna od stvari koja je odlična.

Ovo je zanimljivo jer ne znam koji bi servis u današnje doba prihvatio šifru od 5 znakova. Ali valjda nađu ljudi načina :)

Zanimljivo. Kaj koristite? Duo mobile?

Koristimo Microsoft ekosustav i njihove produkte.