web-dev-qa-db-ja.com

FIDO U2Fキー(デュアルYubikeyまたはデュアルGoogle Titanキーなど)は、Googleアカウント復旧プロセスによって損なわれますか?

こちらのGoogle情報ページによると https://support.google.com/accounts/answer/610352

次の2つ目の手順がない場合、またはパスワードを忘れた場合

注:2段階認証プロセスでは、アカウントを所有していることを証明するために追加の手順が必要です。セキュリティが強化されているため、ログインしようとしていることをGoogleが確認するのに最大3〜5営業日かかることがあります。

手順に従ってアカウントを復元します。アカウントであることを確認するための質問がいくつか表示されます。これらのヒントを使用して、できる限り回答してください。

次のようなメッセージが表示される場合があります:連絡先のメールアドレスまたは電話番号を入力する。メールアドレスまたは電話番号に送信されたコードを入力します。このコードは、その電子メールアドレスまたは電話番号にアクセスできることを確認するのに役立ちます。

これは、私が2つのGoogle Titanキーを持っている場合でも(Googleの高度な保護プログラムには2つ必要です)、誰かがフォームに入力してキーが失われたと主張し、テキストへのアクセスを傍受できる場合はアクセス権を取得できることを示しているようです私の携帯電話番号に送信されました。これは、攻撃者が私が休暇中であり、注意を払っていないと考えるまで待ってから、自分のアカウントにアクセスできることを示しているようです。

私の携帯電話プロバイダーが最も弱いリンクにならないようにアカウントをロックする方法はありますか?

9
knaccc

結局グーグルはあなたのアカウントを回復するかどうかを決める。したがって、論理的な観点からは、アカウントを完全に制御できないため、アカウントをロックダウンすることはできません。

多くのセキュリティの質問に答えることができます希望そのgoogleまたはgoogleヘルプデスクがすべての質問をし、賢明に決定します。しかし、結局それはあなたの手にはありません。

グーグルが回復不可能なアカウントを持つことを許可するようには思えない。

つまり、認証と2要素認証は、プロセス(この場合は回復プロセス)と同じくらい優れています。そして、あなたが不十分な回復プロセスを持っているなら、2FAもまた貧弱です。

2
cornelinux

私はプロセスを経験したことがありませんが、私が言うことができることから、これは最後の手段の回復オプションです。 Googleはその脅威を認識しており、おそらくそれを軽減する方法を持っています。そうは言っても、私が知る限り、プロセスはかなり不透明です。 3〜5日は、彼らが何らかの手動レビューを行っていることを示しているようです。おそらくあなたに電話して、アカウントに関する情報の知識があるかどうかを確認してみてください。あなたはそれを試して何が起こるかを見て、それから私たちに知らせてください。

1
ScarySpider