Podczas jednej z ostatnich migracji poczty klienta z Google (G Suite/Gmail) na inne rozwiązanie rutynowo logowałem się na kolejne konta w Google, by ustawić tam przekierowania, upewnić się, że jest dostęp w ramach protokołu IMAP (migracji dokonywałem za pomocą opisywanego niedawno narzędzia imapsync, dostępnego również bezpłatnie w wersji online) i takie tam „rutynowe aktywności”. Podczas logowania do kont Google jak to Google, czasem wymagało ode mnie dodatkowej – poza loginem i hasłem – weryfikacji. Słusznie. Tylko w większości przypadków dodatkową weryfikację udało mi się przejść bez angażowania administratora usługi/domeny, ale i nawet właściciela skrzynki…
Konto Google i dodatkowa weryfikacja… numerem telefonu
By było jasne – uważam, że Google, jeśli chodzi o zabezpieczenie kont swoich użytkowników robi kawał dobrej roboty, i w większości przypadków, nawet bez włączonej autoryzacji dwuskładnikowej (2FA, włączać natychmiast, kto jeszcze nie ma aktywnej! ;-)) dostanie się na cudze konto wymagać może czegoś więcej niż tylko loginu i hasła.
Tak też było w tym przypadku – po podaniu adresu e-mail (nazwa użytkownika w usłudze G Suite) pojawiło się kolejne okienko, z informacją, że nie rozpoznano mojego urządzenia:
Nie rozpoznaliśmy tego urządzenia. Dla Twojego bezpieczeństwa Google chce potwierdzić Twoją tożsamość.
W tym momencie dostałem do wyboru 3 opcje dodatkowej weryfikacji:
- Uzyskaj kod weryfikacyjny pod numer (•••) •••-••08
- Zadzwoń pod swój zapisany numer telefonu ((•••) •••-••08)
- Potwierdź numer telefonu na potrzeby odzyskiwania konta
Pierwsze 2 metody (kod SMS i połączenie głosowe na skojarzony z kontem numer telefonu) wymagałyby kontaktu z właścicielem danego konta. Niby to nie problem, ale większość przenoszonych tym razem kont należała do osób znajdujących się w strefie czasowej znacznie różniącej się od mojej.
Mnie zainteresowała trzecia metoda: „Potwierdź numer telefonu na potrzeby odzyskiwania konta”, z której postanowiłem – jak widać na zrzucie powyżej – skorzystać. Znając adres strony firmowej (usługa G Suite, poczta Google w domenie klienta), znając liczbę cyfr w numerze telefonu wraz z ostatnimi 2 cyframi, oraz – co najważniejsze – imię i nazwisko klienta (pierwszy człon adresu e-mail) miałem sporą szansę na sukces. I oczywiście trafiłem. I tak dla każdego kolejnego adres e-mail, na którym nie była aktywna autoryzacja dwuskładnikowa (2FA).
Oczywiście wszystko odbywało się za pełną zgodą i aprobatą klienta, właściciela domeny, abonenta usługi G Suite, i zarazem właściciela firmy. Nie ma tu też mowy o żadnym przełamaniu zabezpieczeń Google, choć jest tu pewna niekonsekwencja. Bo z jednej strony mamy kody jednorazowe w ramach dodatkowej weryfikacji, bo zostało wykryte podejrzane logowanie, ale z drugiej strony możemy zweryfikować się podając numer telefonu, rzecz w przypadku firm – zapewne większość klientów G Suite – często jawna, a którego fragment (ostatnie 2 cyfry) Google nam wyświetla…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
bardzo ciekawy artykuł, jednak sposób weryfikacji ten najbardziej „ryzykowny” wymaga od nas posiadania fizycznie telefonu. Bo przyjdzie na niego weryfikacyjny SMS :)
Pierwsze 2 metody faktycznie wymagają dostępu do telefonu, bo będzie kod (SMS lub połączenie). Ale już trzecia dostępna opcja – która „sprowokowała” ten artykuł – nie wymagała ode mnie dostępu do telefonu (numeru). Weryfikacja opierała się na tym, czy jestem w stanie podać numer telefonu. W przypadku firm (G Suite to jednak często firmy) uzyskanie numeru nie jest trudne, często jest na stronie, i to skojarzony od razu z adresem e-mail. Do tego formularz podpowiada liczbę znaków (bo może być np. zagraniczny) oraz 2 ostatnie cyfry ;-)
Od kilku miesięcy Google weryfikuje konto? telefon? użytkownika? ale dlaczego robi to w przypadku innej karty sim z numerem nie powiązanym z kontem? miałem tak kiedy do nowego telefonu po konfiguracji z pierwszą karta SIM dodałem po jakimś czasie druga (fon z dual sim), natychmiast po wczytaniu danych z karty Google wysłało do siebie smsa. Bulwersujący jest też fakt, że robi to bez wiedzy i zgody de facto włamując się do aplikacji i korzystając z sieci gsm.
Według supportu zmiana sposobu weryfikacji w moim przypadku nie istnieje, numer telefonu urządzenia – jest niedostępny.
Bardzo proszę o pomoc!!!!! Nie mogę zalogować się na moje konto ponieważ mam weryfikację dwutapetowa a mój telefon jest zepsuty i nie mogę potwierdzić weryfikacji… A bardzo chcę to konto odzyskać!! A weryfikacja numerem telefonu też jest nie możliwa ponieważ mam inny numer telefonu. Błagam pomocy!!!!!
Niestety, ale tutaj raczej nie będę w stanie pomóc. Zalecam skorzystanie z mechanizmów odzyskiwania (dostępu do) konta, lub kontakt z Google.
A jak wyłączyć w ogóle weryfikację dwuetapową nr telefonu? Mam kilka kont technicznych, nic wartościowego na nich nie mam, służą tylko do logowania do różnych serwisów internetowych. Hasła pamiętam, jednak logując się z różnych urządzeń i różnych lokalizacji wymagane są nr telefonu. Ja pamiętam hasła i to mi wystarcza, nie chcę dodatkowo zabezpieczać tych kont!. Jak pozbyć się pytania o nr telefonu? Nie chcę kojarzyć mojego numeru z tymi kontami.
Dziękuje z góry za odpowiedź.
Metodami weryfikacji 2FA możesz zarządzać w ustawieniach swojego konta. Ale to nie znaczy, że nie pojawi się pytanie o kod SMS od Google, bo czasem coś takiego może się pojawić jako dodatkowy element, niezależny od ustawień 2FA i na to nie mamy wpływu, więc tego nie wyeliminujesz. Natomiast z tego, co zauważyłem u siebie (a mam więcej niż kilka kont Google, w domenach) wydaje się, że szansa na brak pytania o kod z SMSa wzrasta, gdy mamy ustawione 2FA na bazie kluczy sprzętowych. Ale to może być tylko wrażenie, bo po prostu przyzwyczajony jestem do tych kodów SMS od Google…