¿De qué manera el ingreso de un número de teléfono “a” ayuda a Google a “verificar que soy yo”?

Navega tus respuestas
7

Hoy intenté iniciar sesión en mi cuenta de Google mientras estaba en la universidad. Google bloqueó el intento y pidió un número de teléfono. A continuación se muestra una captura de pantalla del formulario que me mostró Google.

Dice:

  

verificaqueerestú
  Estedispositivonoesreconocido.Paratuseguridad,Googlequiereasegurarsedequerealmenteerestú.

    

Ingreseunnúmerodeteléfonopararecibirunmensajedetextoconuncódigodeverificación.

Obviamente,Googlepiensaquesabermicontraseñanoessuficienteparademostrarque"soy yo". No tengo un teléfono, por lo que nunca vinculé ningún número de teléfono con mi cuenta de Google.

Lo que me intriga es el fraseo. "Ingrese un número de teléfono" me suena como si aceptara cualquier número. Obviamente, ya que nunca vinculé un número de teléfono, no tienen nada con qué comparar el número ingresado en ese campo. Esto también significa que no pueden enviarme un mensaje de texto con un código de verificación.

No entiendo cómo esto mejora la seguridad. Ya asumen que puedo ser un atacante que de alguna manera consiguió mi contraseña, de lo contrario, me permitirían iniciar sesión. ¿Pero qué evitaría que un atacante ingrese cualquier número de teléfono en su control para que puedan recibir el código de verificación? Suponiendo que un atacante pueda conocer mi contraseña, ¿cómo evita esto que obtengan acceso no autorizado a mi cuenta?

    
pregunta secretpow 30.04.2018 - 19:44
fuente

3 respuestas

9

Aunque está extrañamente redactado, tiene sentido desde el punto de vista de Google, porque:

  1. Si alguna vez se comprometen las credenciales de su cuenta, un atacante estaría menos dispuesto a continuar en este momento, a menos que esté dispuesto a usar un número desechable cada vez que piratee la cuenta de alguien. (Lo que probablemente no sea rentable). Ciertamente, no pueden usar su número de teléfono real, ya que la policía podría rastrearlos. Básicamente, esto podría funcionar para "verificar que eres tú".
  2. Le permite a Google comenzar a usar 2FA contigo en el futuro. Pero dado que forzar a 2FA puede ser mal visto, quizás decidieron que solo lo forzarán si alguna vez inicias sesión desde un dispositivo desconocido.
  3. Esto reduce la cantidad de nuevas direcciones de correo electrónico creadas para propósitos de spam. Es más difícil obtener números de teléfono que funcionen que obtener direcciones de correo electrónico, por lo que al obligar a un usuario a asociar un número de teléfono al que tienen acceso personalmente con su cuenta, reduce la cantidad de direcciones de correo electrónico de spam creadas recientemente. Supongo que si intenta asociar demasiadas cuentas de correo electrónico con el mismo número, se cerrará.
respondido por el TTT 30.04.2018 - 20:43
fuente
2

PSTN (red del teléfono) tiene un rastro de papel mucho más grueso que TCP / IP, muchos menos puntos finales (#s vs IPs), por lo general requiere un registro de $ + con una empresa de telecomunicaciones regulada por el gobierno (en comparación con wifi de cafetería), y se extiende la protección legal de escuchas telefónicas (en lugar de solo piratería).

Todos estos sirven como desalientos sociales para los atacantes de bajo nivel, como un ex enojado, pero probablemente no protegen tanto de los ataques dirigidos sofisticados. Más ataques son en realidad amateur / personal, por lo que esta práctica reduce el abuso de los usuarios de Google y las acciones de cumplimiento que Google debe tomar. Si no ahorrara dinero a Google, Google no se molestaría.

    
respondido por el dandavis 01.05.2018 - 00:41
fuente
0

Sospecho que el número de teléfono tiene que ser uno que Google ya tiene asociado a su cuenta. Si ingresas algún número desconocido, nada Útil sucederá. La extraña redacción es doble; para manejar el caso que hay varios números disponibles, y para no decirle cuáles son los números son.

    
respondido por el ddyer 03.05.2018 - 21:35
fuente

Lea otras preguntas en las etiquetas

¿Por qué limitar las contraseñas a caracteres imprimibles ascii? [duplicar] ¿Cómo funciona el proceso de migración en Meterpreter [cerrado]