Dvoufaktorovou autentizaci má u Google méně než jeden uživatel z deseti

To bude asi tím, že u služeb jako je google je pro většinu lidí dvoufaktorové ověření zbytečné.

Naštěstí nenakupuji aplikace na Androida, stejně jako většina lidí IMHO.

Jo a preto su aplikacie pre Androida taky dobry biznis.

Víš, kolik je na světě telefonů s androidem? I 5 % z tohoto počtu je dost velké absolutní číslo, na kterém se dá stavět dobrý bizněs.

Já bych třeba rád pár aplikací koupil (vlastně doslova pár Aerial TV a SDRTouch), ale nejde to zaplatit jinak, než uložením platební karty na googlu. Toto je úplná šílenost, ti autoři přece musí vědět, že lidi nikam karty ukládat nechcou, ne? Nebo to je nějak zakázané mít v aplikaci svoje platební metody? Číslo účtu?

ano, je to zakázané podmínkami, platby musí jít přes Google, resp. on si bere provizi.

Zrovna Google patří mezi ty spolehlivější a ukládat kartu u něj není pro mě takové riziko jako na jiném webu. Dnes již je možné mít kartu a převádět na ní peníze nebo naopak jí povolovat těsně před platbou, to riziko kapánek snižuje.

Přesně.

To je hrozně jednoduchý.
Já jim svůj telefon prostě nedám.

Dvoufaktor nepotřebuje telefon ani jakoukoliv komunikaci s Googlem — stačí generátor TOTP PINů.

To není špatnej nápad.
Chtělo by to najít nějakou pěknou TOTP open source mobilní aplikaci. :)

Ale stejně mi to přijde spíš jako iluze bezpečí.
Protože když se přihlásím na zavirovaném počítači, tak už mi ty emaily stejně někdo může číst...

Algoritmus TOTP je normalizovaný, na Githubu najdeš implementaci pro každý myslitelný jazyk a i hotových aplikací budou desítky.

Fajn. :-)
Narážel jsem na to, že stačí jedna, které lze opravdu věřit...

Je FreeOTP dost open source?
https://en.m.wikipedia.org/wiki/FreeOTP

Další možnost je nějaký HW klíč (napr YubiKey)...

Byl bych vděčný za navedení - když jsem to zkusil najít, nabídlo mi to jenom "výzvu" (přes mobil přihlášený ke google účtu) nebo telefonní číslo...

Říkají tomu "Aplikace Authenticator"

> nabídlo mi to jenom "výzvu" (přes mobil přihlášený ke google účtu) nebo telefonní číslo...

Jste si tím tak jistý? Nepoužívá se u dvoufaktorové autentizace googlu QR kód? Pokud ano, tak se bez telefonu můžete obejít, ale je to hoooodně krkolomné.
Já se spíše ptám, protože to sám nepoužívám a používání googlu účtu jsem zrušil právě kvůli strašně otravnému páčení informací, kdy se google ze mně asi každého čtvrt roku snažil vyrazit telefonní číslo, přestože jsem od něj nikdy žádnou dvoufaktorovou autentizaci nepožadoval. Navíc, pokud často cestujete, používání google účtu bez dvoufaktorové autentizace je téměř nemožné a google vám odmítne přihlášení i když znáte heslo a odpověď na kontrolní otázku a požaduje další autentikaci.

Víte tedy, prosím, o nějakém řešení dvoufaktorové autentizace pro google, které nevyžaduje telefón ani telefonní číslo? Můžete, prosím, uvést odkaz? Velice by mi to pomohlo.

yubikey

A co by sis mimo mobilj predstavoval???

Ja to pouzivam. Ci google moj telefon ma alebo nie mi je jedno. Ked si pomyslim co vsetko riesim cez google, tak to chcem mat zabezpecene co najlepsie.

Hele, to je ale dobra zprava. Cekal bych vyrazne mene. Treba tak jedno procento max.

otázka je, kolik z těch 90% uživatel používá google účet jako seriozní email a ne jen druhotnou mailovou službo pro registraci na porno, warez a ochranu proti spamu.

Používat google email je samo o sobě riziko, a vícefaktorové přihlašování na to nemá žádný vliv

V cem je to riziko?

Riziko je v tom, že o vás jedna firma, jejíž core business je shromažďování informací (to je v tomto případě dost podstatné) bude vědět prakticky úplně všechno - nejen znát vaši komunikaci, ale také co na intrenetu vyhledáváte, na jaké stránky chodíte (plus samozřejmě všudypřítomný google ads a google analytics). To není v zájmu žádného uživatele.

a druha moznost je, ze si paranoidni hysterka

Ve vlákně o povinné dvoufaktorové autentikaci k emailu používanému pro registraci na pornostránkách jsem podobné příspěvky očekával. Počítal jsem ale, že budou mířit na někoho jiného.

Asicnedine nelouzivat internet nebo min tu analitikj blokovat?

Mam v gmailu emaily snad od roku 2003, vsechny fotky co sem kdy vyfotil, kontakty i dokumenty. No a? Pochybuju ze si to prohlizi nekdo zivy.

Takze jinak receno 90% uzivatelu ma vic rozumu nez bych cekal.

Copak nekola, mas neco k veci nebo opet jen blejes sracky?

Hlavně že níž někdo řeší, že bez čísla ho to nikam nepustí.

To jiste nekola, a hlavne by to guuglu prineslo sparovani uctu s konkretnim telefonim cislem zejo ... a ta strasna katastrofa kdyby nekco prisel o mail na kterym si pise s bozkou ze v nedeli pudou na kafe ...

Lidi ser. zadávat heslo natož když maj ještě něco dalšího opisovat. USB klíč také není řešení, prostě to maj v pc vražený furt nebo dokovačce.
Prostě u většiny lidí to bezpečnost stejně nezvyšuje.

To se myslim pletes. Google podporuje yubico myslim. Tak mas v usb zasunuty druhy faktor treba cely den, ale je to porad druhy faktor k heslu. Nebo ne??

google umi:

autentifikator
telefon - oblokace na vyzvu kliknutim
yubikey U2F - usb klic s ID, bez certifikatu nebo klicu
SMS, ale to potlacuji

obecne je to ochrana proti tomu, aby se vam nekdo lognul z Asie.
dobre heslo je samozrejme namiste

Moje zkušenost je, že dvoufaktorová autentikace pro google účet je jen mazaný trik na spárování uživatele s telefonním číslem a že nejde o nic jiného než sběr dat.

Obecně je dvoufaktorová autentikace užitečná věc, ale zásadně by měla být řešena pomocí tokenů, nikoliv pomocí telefonu.

Jedno prece jestli je to hw token nebo sw token..? Porad je to druhy faktor nebo ne?

Google pozna telefone cislo v okamihu, ked sa prihlasim cez Google ucet na Android telefone. Tipnem si, ze vacsina pouzivatelov Google sluzieb ma (aj) Android telefon.
Okrem toho Google vyzaduje telefonne cislo uz pri registracii a netusim, ci sa aktualne vobec da vytvorit ucet bez zadania realneho telefonneho cisla (overeneho cez zaslanie SMS).

ano, vystihl si to presne. netusis.

Dobře a co byste poradil těm, kteří telefon s androidem nemají a účet si zaregistrovali bez zadání telefonního čísla?

To sa este da ?
Ked som si vytvaral moj hlavny Google ucet, tak telefonne cislo nebolo potrebne ale pred nejakou dobou som si chcel zaregistrovat alternativny Google ucet a bez zadania telefonneho cisla a potvrdenia cez SMS ma to nechcelo pustit dalej.

Takze novy Google ucet bez zadania telefonneho cisla sa da vytvorit pri registracii "cisteho" Android telefonu. Treba mat ale k dispoziici telefon/tablet, kde si mozem urobit "factory reset". Nastastie, jeden Nexus 5X, co pouzivam na pokusy, som k dispozii mal.

Narazil jsem na stejný problém a když jsem před nějakou dobou zkoušel vytvořit nový účet, bez zadání telefonního čísla mě to nechtělo pustit dál. Ovšem nejde mi o nové účty, šlo mi o používání těch, které už mám. Ty, které mám nebyly nikdy spárované s telefonnním číslem a ani to nemám v plánu udělat (a že se fakt snažili to číslo ze mě vypáčit).

Proč? Protože proč dávat číslo mobilu americké špehovací společnosti. Však naposledy mi nechtěli ani založit účet, aniž bych jim dal číslo....

Tak mi prosím ukaž, kde u googlu nastavím TOTP. Byl jsem tam a buď sms nebo googlí účet.

Pochopil jsem dobře, že ty další možnosti vám google nabídne až potom, kdy už zná vaše telefonní číslo? Prosím, opravte mne pokud se mýlím.

Výzva/sms, potom mi to nabídne na konci ještě jednorázové kódy, Authenticator jsem nikde nenašel.

tak to proste je - normalni clovek nechce resit tisic blbosti ale chce aby mu pocitac pomohl s tim co potrebuje udelat a tim to konci.

Tak ono, pokud většina uživatelů má ten účet tak jako já k tomu, aby mohli instalovat aplikace z Google Play ale nic s Googlen nesynchronizují, ani nepoužívají Gmail, tak proč mít dvoufaktor.

Co to je za telefon ze tam je Googlu ucet povinny? To sa mi nezda.

Zeby vsechny androidy? Na 100% z nich prijdes o 50% funcionality kdyz tam guugli ucet nemas...

Ale soudruzi z jabka to maj poreseny lip, ty jejich krapy bez SIMky (a uctu u nich) ani nezapnes. Takze 112 muzes volat tak maximalne tak ze vylezes na strom a vudes vykrikovat.

Chromium: saving passwords for sites with self-signed certificates
https://docs.google.com/document/d/1nJIKDgiEkpCLm8PJxeFTi-q4Nbd2mjHEEFHtrprvA9k/edit#heading=h.6pmmhj9523us
https://bugs.chromium.org/p/chromium/issues/detail?id=431618

@google? Kdo to ještě používá!?! Když už chcete bezpečnost, tak jedině na https://protonmail.ch !!! :-)