Envato Elements - pobieraj co chcesz, ile chcesz

Podczas jednej z ostatnich migracji poczty klienta z Google (G Suite/Gmail) na inne rozwiązanie rutynowo logowałem się na kolejne konta w Google, by ustawić tam przekierowania, upewnić się, że jest dostęp w ramach protokołu IMAP (migracji dokonywałem za pomocą opisywanego niedawno narzędzia imapsync, dostępnego również bezpłatnie w wersji online) i takie tam „rutynowe aktywności”. Podczas logowania do kont Google jak to Google, czasem wymagało ode mnie dodatkowej – poza loginem i hasłem – weryfikacji. Słusznie. Tylko w większości przypadków dodatkową weryfikację udało mi się przejść bez angażowania administratora usługi/domeny, ale i nawet właściciela skrzynki…

Konto Google i dodatkowa weryfikacja… numerem telefonu

By było jasne – uważam, że Google, jeśli chodzi o zabezpieczenie kont swoich użytkowników robi kawał dobrej roboty, i w większości przypadków, nawet bez włączonej autoryzacji dwuskładnikowej (2FA, włączać natychmiast, kto jeszcze nie ma aktywnej! ;-)) dostanie się na cudze konto wymagać może czegoś więcej niż tylko loginu i hasła.

Tak też było w tym przypadku – po podaniu adresu e-mail (nazwa użytkownika w usłudze G Suite) pojawiło się kolejne okienko, z informacją, że nie rozpoznano mojego urządzenia:

Nie rozpoznaliśmy tego urządzenia. Dla Twojego bezpieczeństwa Google chce potwierdzić Twoją tożsamość.

W tym momencie dostałem do wyboru 3 opcje dodatkowej weryfikacji:

  • Uzyskaj kod weryfikacyjny pod numer (•••) •••-••08
  • Zadzwoń pod swój zapisany numer telefonu ((•••) •••-••08)
  • Potwierdź numer telefonu na potrzeby odzyskiwania konta

Pierwsze 2 metody (kod SMS i połączenie głosowe na skojarzony z kontem numer telefonu) wymagałyby kontaktu z właścicielem danego konta. Niby to nie problem, ale większość przenoszonych tym razem kont należała do osób znajdujących się w strefie czasowej znacznie różniącej się od mojej.

Mnie zainteresowała trzecia metoda: „Potwierdź numer telefonu na potrzeby odzyskiwania konta”, z której postanowiłem – jak widać na zrzucie powyżej – skorzystać. Znając adres strony firmowej (usługa G Suite, poczta Google w domenie klienta), znając liczbę cyfr w numerze telefonu wraz z ostatnimi 2 cyframi, oraz – co najważniejsze – imię i nazwisko klienta (pierwszy człon adresu e-mail) miałem sporą szansę na sukces. I oczywiście trafiłem. I tak dla każdego kolejnego adres e-mail, na którym nie była aktywna autoryzacja dwuskładnikowa (2FA).

Oczywiście wszystko odbywało się za pełną zgodą i aprobatą klienta, właściciela domeny, abonenta usługi G Suite, i zarazem właściciela firmy. Nie ma tu też mowy o żadnym przełamaniu zabezpieczeń Google, choć jest tu pewna niekonsekwencja. Bo z jednej strony mamy kody jednorazowe w ramach dodatkowej weryfikacji, bo zostało wykryte podejrzane logowanie, ale z drugiej strony możemy zweryfikować się podając numer telefonu, rzecz w przypadku firm – zapewne większość klientów G Suite – często jawna, a którego fragment (ostatnie 2 cyfry) Google nam wyświetla…

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Envato Elements - pobieraj co chcesz, ile chcesz