Régi adósságot törleszt a Google Authenticator új verziója

Titkosítás, biztonság, privát szféra
We are excited to announce an update to Google Authenticator, across both iOS and Android, which adds the ability to safely backup your one-time codes (also known as one-time passwords or OTPs) to your Google Account.

Részletek a bejelentésben.

( DirtY_iCE | 2023. 04. 25., k – 13:39 )

Es akkor elmentem a google account 2fa kodjat a google accountba es jajdejolesz.

I hate myself, because I'm not open-source.

A KeePassXC már jó ideje tud OTP 2FA kulcsokat is kezelni, rég azt használom erre is. Kell a francnak a google vacka.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( lave | 2023. 04. 25., k – 13:43 )

Elvesztettem a fonalat, miért akarom én elmenteni az OTP-ket a google fiókomba?

Azért egyszer használatos, mert kb fél-egy percig érvényes, nem?

az alkalmazáshoz hozzáadott fiókokat menti el. így egy esetleges telefon tönkremenetelnél, a Google fiókba belépve visszaállnak a 2FA használó fiókok és generálódnak hozzá tovább a kódok. eddig csak kézzel kiexportálva lehetett másik készülékre költözni. de ha az esetleg tönkrement és máshol nem voltak eltárolva a 2FA fiókok, akkor az bukta volt.

( Imo | 2023. 04. 25., k – 14:28 )

Végre! Ideje volt már, hogy a wifi jelszavak mellé a 2FA kódok is meglegyenek cleartext-ben a google szerverein.

Chrome-ban tárolt password-ok is ott vannak cleartext-ben, kellhet még valami nekik?

Ez egy második faktor. Miért tárolná valaki a jelszavait a Google Chrome-ban? Értem a példádat, csak kicsit nyakatekert.

Az viszont valós probléma volt, hogy valaki mobilt váltott, baszott átvinni a GA adatait, a régi telefonját letörölte, utána meg ment a kamillázás, hogy nem tud belépni az oldalaira.

trey @ gépház

"Miért tárolná valaki a jelszavait a Google Chrome-ban? "

Ez valami vicc? Az átlag userek hány %-a tárolja jelszavait chrome-ban? 70-80?

A hülye, adatvesztő user problémája teljesen valós, de ettől még nem tartom jó ötletnek a 2FA kódok cleartext tárolásának a google-nél és a magam részéről messziről kerülöm. Amúgy nyilván mindenki ott tárolja és oda szinkronizálja a biztonság-kritikus adatait ahova akarja.

+1

A Google által gyártott telefonon, a Google által írt OS-en a Google accountommal belépve a Google appjában tárolom az OTP secreteket, amiből a generált kódokat aztán a Google böngészőjébe írom be a Google szervereire syncelt jelszóval ==> minden rendben

Ugyanez, de a secret ezentúl hivatalosan is a Google szervereire kerülhet, nemcsak véletlenül ==> muh' privacy

:D

Bocs, de nem értettem ezt a szatirát ebban a szálban postolva.

Úgy tűnt az alapján szerintem rendben volt az egész, egészen addig amig ezt nem szinkronizálta fel a google szerveribe és csak most lett vele problémám. Nagyon nem. Én már elég régóta azt képviselem, hogy rohadt egészségtelen az összes titkos információnkat a google-re bizni, kezdve a wifi és alkalmazás jelszavakkal, a gyakorlatilag kikapcsolhatatlan lokáció követésen át, egészen a vezetékes IP cimek pontos gps koordinátához kötéséig.

Ettől még a magán levelezésem gmail-en van...

Azt meg kéne érteni mindannyiunknak, hogy az internetes hálózati szolgáltató cégek minden létező fejlesztést, adatelszívást, (telemetriát!) a saját hálózatuk, szerver-rendszereik, "felhőik" védelmében gyűjtik és használják. Ha a szolgáltatásra, vagy az operációs rendszerük használatával "kacérkodunk", ezt el kell fogadnunk. Ebben a kiber-háborús világban, nem lehetnek kiszolgáltatottak ismeretlen alhálózatok, kliensgépek irányába. A "privacy" címén a saját magánérdekeik és jogaik védelmét kell értenünk. Mi felhasználók leginkább csak apró, legtöbbször szoftverfejlesztő munkával megoldható, gondokat okozó "homokszemek" vagyunk a globális rendszereikben.

:)

Aki szerint az első forgatókönyv sincs rendben, az gondolom eleve nem is így csinálja, ahogy leírtam. Ha mégis, az már az ő gondja. :)

Amúgy is mások a prioritásaink, én például ezerszer szívesebben adom a Google-nek a "vezetékes IP cimek pontos gps koordinátá[it]", mint a levelezésemet. Ezért is kár ennyit pörögni a kommentemen.

Igen. Kell nekik az osszes credit card is plain textben. Mar majdnem megvan nekik, csak meg fut a script ami generalja, de mindjart kesz.

for (Decimals::Decimal i = Decimals::fromString('0'); i <= Decimals::fromString('9999999999999999'); ++i) {
  std::cout << Decimals::format(i, 16, 0) << std::endl;
}

Chrome alatt szinkronizáláskor elég beállítani egy "összetett szinkronizálási jelszót", és máris nem cleartextben lesznek tárolva a jelszavak. Ráadásul minden mást is végponti titkosítással szinkronizál, így ha jelszavakat nem is mentünk a chrome alá, csak az előzményeket / könyvjelzőket szinkronizáltatjuk, akkor is megéri élni a lehetőséggel.

Nagy Péter

( Elbandi v | 2023. 04. 25., k – 17:37 )

esetleg azt is megoldhatnak, hogy a rendes backup appok le tudjak menteni a seedket, es googlecloud/kezi hack nelkul is at viheto legyen masik telora :(

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( laysoft v | 2023. 04. 26., sze – 10:38 )

És vajon mikor lesz letölthető / frissíthető ez az új verzió? Mert a Play Store-ban még a tavalyi van...

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.

( trey | 2023. 05. 25., cs – 11:26 )

Megérkezett, frissült a készülékemen.

trey @ gépház