@Axles
Blog (28)
Komentarze (3.1k)
Recenzje (16)

Konto Google, czy aby na pewno takie bezpieczne jakby się mogło wydawać?

@AxlesKonto Google, czy aby na pewno takie bezpieczne jakby się mogło wydawać?06.03.2012 14:44

Ostatnio naszły mnie pewnego rodzaju rozmyślenia na temat tego czy moje konto Google byłoby bezpieczne gdyby ukradli mi telefon z Androidem, a wraz z kontem maile, które nie raz zawierają bardzo cenne dla mnie informacje jak np. dane potrzebne do zalogowania/zresetowania haseł do serwisów, dostępne z każdego miejsca dokumenty online, aż w końcu kontakty zarówno te mailowe jak i telefoniczne, no i zdjęcia w Picasa Web Album czy Google+.

Wydaje mi się, że nie do końca byłyby bezpieczne i postaram się przedstawić dlaczego. Równie dobrze mogłem gdzieś w moim rozumowaniu popełnić błąd, ale Wy go z pewnością wychwycicie od razu :)

Zacznę od tego, że Gmaila czyli poniekąd i całe konto Google mam w 100% zgodnego z Listą kontrolną zabezpieczeń Gmaila. Hasła do weryfikacji dwuetapowej do logowania na konto Google przychodzą na smartfona z Androidem którego mam powiązanego z kontem Google by móc korzystać z Android Marketu.

Rekonstrukcja ewentualnych zdarzeń

Załóżmy więc, że z przyczyn losowych smartfon zostaje skradziony lub po prostu go gubię, jakie kroki mogę poczynić, aby odzyskać dostęp do konta zanim np. zrobi to złodziej?

Pierwsze co robię to szybko siadam do kompa w celu zmiany hasła, loguję się do konta Google i tu pierwszy problem bo sms z kodem przychodzi na skradziony telefon, na szczęście mam wydrukowane kody zapasowe (lecz mimo tego złodziej już wie, że coś się dzieje, z jednej strony dobrze z drugiej niekoniecznie). Dostałem się na konto i zmieniam hasło, ale to dopiero początek bo teraz nasuwa się ważne pytanie, czy z poziomu Androida na smartfonie (w tym przypadku skradzionym) można zmieniać/resetować jakoś hasło do konta Google !? Spróbujmy na to pytanie odpowiedzieć. Złodziej ma dostęp do mojego maila bo skojarzenie Androida z kontem Google (a tak przecież miałem) pozwala korzystać z aplikacji poczty bez problemu, już w ogóle pomijam fakt, że złodziej posiadając telefon i całą masę danych zawartych w nim będzie wstanie odzyskać hasło które właśnie zmieniłem.

I tak np. z tego co sprawdzałem przypomnienie hasła w przeglądarce (dowolnej, nawet tej na smartfonie) jest możliwe na jeden z trzech sposobów:

  • Nie pamiętam swojego hasła - tutaj prosi nas o nazwę naszego konta w formie maila, gdy go wpiszemy, ukażą się opcje, które nas interesują i wrócimy do nich w punkcie a)
  • Nie pamiętam swojej nazwy użytkownika - tu poprosi nas o dodatkowy email, który podaliśmy przy rejestracji, załóżmy, że tą opcją złodziej się nie zadowoli bo nie ma dostępu do drugiego maila.
  • Mam inne problemy z logowaniem - tutaj otrzymamy całe drzewko możliwości odzyskania hasła po podaniu naszych danych i tu złodziej raczej nic nie zdziała.

a)

  • Odpowiedź na pytanie ochronne - tu mogą być problemy dla złodzieja, chyba że ktoś ustawił pytanie o imię swojej sympatii, a ta z kolei w kontaktach widnieje na pierwszym miejscu z wykrzyknikiem na początku
  • Uzyskaj link do zresetowania hasła na pomocniczy adres e-mail: zapasowy@wp.pl - tu też raczej łatwo nie będzie, chyba, że właściciel na swojego głównego maila przekierował tego którego podał jako pomocniczego :)
  • Uzyskaj kod weryfikacyjny przy użyciu telefonu: ••••••010' - a tu chyba żadnych problemów, złodziej mając nasz telefon może zmienić sobie hasło do naszego konta Google ? Wszystko wskazuje na to, że tak.

Dla zabezpieczonego dwuetapowo konta Google metody odzyskiwania są inne, poprzedza je komunikat:

Wygląda na to, że dla tego konta została włączona weryfikacja dwuetapowa. Aby zresetować hasło, musisz wprowadzić kod weryfikacyjny z telefonu.

[list] [item]Mogę uzyskać dostępu do telefonu lub zapasowych metod weryfikacji - ano złodziej nie będzie miał problemu z dostępem do kodów weryfikacji, które otrzyma na telefon.[/item][item]Nie mam dostępu do telefonu ani opcji zapasowych.[/item]

Ukończenie procesu odzyskiwania konta bez użycia telefonu może czasem zająć 3-5 dni roboczych. Jeśli tylko tymczasowo nie masz dostępu do telefonu lub zapasowych metod weryfikacji, poczekaj, aż będzie on znowu możliwy i spróbuj wtedy zalogować się ponownie.

Formularz jest bardzo rozbudowany z mnóstwem pytań w celu zidentyfikowania, że my to my np: "Adresy e-mail maksymalnie pięciu kontaktów, do których często wysyłano wiadomości", "Nazwy maksymalnie czterech etykiet" itd. Szkoda że takich spraw nie można telefonicznie załatwić, pewnie było by szybciej.

W tym wszystkim nasuwa się kilka pytań, czy Android automatycznie traci połączenie z kontem przy zmianie hasła do niego? Wydaje mi się, że tak Android zrywa połączenie pod warunkiem, że użyliśmy do połączenia hasła głównego konta Google, a nie hasła aplikacji bo takiego o ile pamiętam też można użyć do sparowania konta Google z Andkiem. Niby to jakieś pocieszenie, bo po zerwaniu złodziej nie będzie miał dostępu do wszystkich naszych danych typu Gmail, ale mimo tego nadal będzie miał możliwość

W jaki sposób zabezpieczyć się?

Poniżej przedstawię środki jakie ja stosuję, być może nie uchronią one nas całkowicie, ale w najgorszym przypadku dają trochę czasu zanim złodziej ‘zrobi użytek’ ze skradzionym smartfonem.

  • PIN karty SIM - pierwsza linia obrony, lepiej go mieć bo to tylko kilka cyfr, które nie obciążą zbytnio naszej pamięci.
  • blokowanie ekranu (na kod lub symbol) - druga linia obrony, opcjonalna ale i ją warto uaktywnić, jeśli nie chcemy pamiętać kolejnego pinu możemy zdefiniować sobie symbol odblokujący ekran.
  • Application Protect - darmowy program umożliwiający ustawienie hasła podczas uruchamiania/usuwania/instalowania wybranych programów np. przeglądarka, Android Market, wspomniany klient poczty Gmail itd.
  • darmowy program Prey - ostatnia deska ratunku, pomocny w celu zdalnego włączenia namierzania itp.
  • włączona weryfikacja dwuetapowa - z dwojga złego lepiej jednak mieć ją włączoną zastosowanie się do Listy kontrolnej zabezpieczeń Gmaila.

Podsumowując, po skradzeniu smartfona zaczyna się wyścig szczurów pomiędzy użytkownikiem (czy uda mu się dostać do konta, przejść przez te wszystkie etapy weryfikacji i ostatecznie odłączyć numer telefonu komórkowego), a złodziejem (czy ten zmieni hasło, utrudniając lub nawet uniemożliwiając nam dostęp do konta Google). Tak więc pierwsze co trzeba się dobrze zabezpieczyć (byle nie popadać w paranoję), po drugie gdy zabezpieczenia zawiodą w jakiś sposób pozostaje szybka reakcja i zmiana danych konta.

Pamiętajmy zasadę, że Polak mądry po szkodzie :]

Na końcu chciałem prosić o wyrozumiałość, nie jestem polonistą i mam jaki mam sposób pisania, nie zmienię tego. Jedynie co to starałem się nie robić rażących błędów i przedstawić wszystko w miarę zrozumiale.

Miłego dnia.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.