¿Las claves FIDO U2F (como las de Yubikeys dobles o las de Google Titan) se ven socavadas por el proceso de recuperación de la cuenta de Google?

Navega tus respuestas
7

De acuerdo con la página de información de Google aquí: enlace

  

Si no tiene otro segundo paso u olvidó su contraseña

     

Nota:   La verificación de 2 pasos requiere un paso adicional para demostrar que usted es dueño de un   cuenta. Debido a esta seguridad adicional, puede tomar hasta 3-5   días hábiles para que Google se asegure de que está intentando iniciar sesión.

     

Sigue los pasos para recuperar tu cuenta. Se te preguntara algo   preguntas para confirmar que es su cuenta. Utilice estos consejos para responder como   lo mejor que puedas

     

Es posible que se te solicite: ingresar una dirección de correo electrónico o teléfono   número donde puede ser contactado. Para ingresar un código enviado a su correo electrónico   Dirección o número de teléfono. Este código ayuda a garantizar que pueda acceder a ese   Dirección de correo electrónico o número de teléfono.

Esto parece indicar que incluso si tengo dos claves de Google Titan (se requieren dos para el Programa de protección avanzada de Google), alguien puede completar un formulario para reclamar que las claves se han perdido y luego obtener acceso si pueden interceptar. Acceso a los textos enviados a mi número de teléfono móvil. Esto parece indicar que el atacante solo puede esperar hasta que piense que estoy de vacaciones y no estoy prestando atención y luego tener acceso a mi cuenta.

¿Hay alguna forma de bloquear la cuenta para que el proveedor de mi celular no sea el enlace más débil?

    
pregunta knaccc 11.10.2018 - 00:25
fuente

2 respuestas

2

Después de todo, Google decide recuperar su cuenta o no. Entonces, desde un punto de vista lógico, no puede bloquear la cuenta, porque no tiene el control final sobre la cuenta.

Puede responder muchas preguntas de seguridad y esperar que google o el servicio de asistencia técnica de Google harán todas las preguntas y decidirán con prudencia. Pero después de todo, no está en tus manos.

No parece que Google permita tener una cuenta irrecuperable.

Entonces, sí, la autenticación y también la autenticación de dos factores son tan buenos como los procesos, en este caso el proceso de recuperación. Y si tiene un proceso de recuperación deficiente, el 2FA también es deficiente.

    
respondido por el cornelinux 04.12.2018 - 00:04
fuente
1

Nunca he pasado por el proceso, pero por lo que puedo decir, esta es una opción de recuperación de último recurso. Google es consciente de esa amenaza y probablemente tiene formas de mitigarla. Dicho esto, el proceso es bastante opaco por lo que puedo decir. Los 3-5 días parecen indicar que hacen algún tipo de revisión manual, probablemente lo llamen y traten de ver si tiene conocimiento de la información de la cuenta. Debe probarlo y ver qué sucede, luego háganoslo saber.

    
respondido por el ScarySpider 29.11.2018 - 07:38
fuente

Lea otras preguntas en las etiquetas

¿Razón para usar solo secretos como claves API? ¿Cómo hago sandbox para el usuario JS sin utilizar una VM, un transpiler o una API basada en la lista blanca?