web-dev-qa-db-ja.com

「a」の電話番号を入力すると、Googleが「本人であることを確認する」のにどのように役立ちますか?

今日、私は大学にいる間にGoogleアカウントにサインインしようとしました。 Googleはその試みをブロックし、電話番号を尋ねました。以下は、Googleが表示したフォームのスクリーンショットです。

Google Sign In Form

それは言う:

本人確認
このデバイスは認識されません。セキュリティ保護のため、Googleは本人であることを確認したいと考えています。

電話番号を入力すると、確認コードが記載されたテキストメッセージが届きます。

明らかに、Googleは私のパスワードを知っているだけでは「それが私だ」と証明するには不十分だと考えています。電話を持っていないので、電話番号をGoogleアカウントにリンクしたことはありません。

私の興味をそそるのはフレージングです。 「a電話番号を入力してください」というように聞こえますany数。明らかに、私は電話番号をリンクしたことがないため、そのフィールドに入力された番号と比較するものは何もありません。これは、確認コードが記載されたテキストメッセージを送信できないことも意味します。

これによりセキュリティがどのように向上するかわかりません。彼らはすでに私が何らかの形で私のパスワードを入手した攻撃者である可能性があると想定しています。攻撃者が私のパスワードを知っていると想定すると、どのようにして私のアカウントへの不正アクセスを防ぐことができますか?

9
secretpow

奇妙な言い回しですが、Googleの観点からは理にかなっています。

  1. アカウントの資格情報が侵害された場合、攻撃者が誰かのアカウントをハッキングするたびに使い捨て番号を使用することを望まない限り、攻撃者はこの時点で続行することをあまり望みません。 (おそらく費用対効果が高くありません。)法執行機関が追跡する可能性があるため、実際の電話番号を使用することはできません。これは基本的に「本人であることを確認する」ために機能します。
  2. これにより、今後Googleで2FAを使用できるようになります。しかし、2FAを強制することは難しい場合があるため、不明なデバイスからログインした場合にのみ強制することを決定したのかもしれません。
  3. これにより、スパムの目的で作成される新しい電子メールアドレスの数が減少します。メールアドレスを取得するよりも有効な電話番号を取得するのが難しいため、ユーザーが個人的にアクセスできる有効な電話番号をアカウントに関連付けることを強制することで、新しく作成されたスパムメールアドレスの数を削減します。同じ番号であまりにも多くのメールアカウントを関連付けようとすると、シャットダウンされると思います。
9
TTT

PSTN(電話のネットワーク)は、TCP/IPよりもはるかに厚い紙の証跡を持ち、エンドポイント(#s対IP)がはるかに少ない、通常、政府規制の電話会社(コーヒーショップのwifiと比較)による$ +登録が必要であり、法的保護を拡張します(単にハッキングするのではなく)盗聴の。

これらはすべて、怒っている元のように、低レベルの攻撃者に対する社会的な落胆の役目を果たしますが、高度な標的型攻撃からはそれほど保護しません。より多くの攻撃は実際にはアマチュア/個人的なものであるため、この方法により、Googleのユーザーの虐待と、Googleが取るべき執行措置が削減されます。グーグルのお金を節約できなければ、グーグルは気にしないだろう。

2
dandavis

電話番号は、Googleがすでにアカウントに関連付けているものである必要があると思います。不明な番号を入力すると、有用なことは何も起こりません。奇妙な言い回しは2つあります。利用可能ないくつかの番号がある場合を処理し、番号が何であるかを教えないため。

0
ddyer