Nechodí autentizační G-kódy od Google

[Filip Jirsák]

o plati maximalne pro vymazance jako ses ty. Mam v keypassu tisice uctu, i s naprosto primitivnim heslem na 3 znaky ... a vzivote sem o zadny neprisel. Ani jednou.

Plati totiz presny opak, znam destiky lidi kteri o ucet prisli prave proto, ze si zprovoznili nejakou uzasne bezpecnou metodu prihlasovani, a po par mesicich se uz prihlasit nemohli, protoze ... prisli o telefon, prestalo to fungovat, soudruh provozovatel neco zmenil ... atd atd atd.

Co udělá provozovatel, když zjistí, že máte slabé tříznakové heslo a je potřeba účet víc zabezpečit? Pošle vám e-mail, že je potřeba si účet lépe zabezpečit. Vy ten e-mail budete ignorovat nebo vám spadne do spamu a nic neuděláte. Pak vám pošle ještě druhý s konkrétním termínem, do kdy musíte změnu provést, a pak třetí, kde už bude napsáno, že pokud změnu do nějaké doby neprovedete, účet vám smažou a už se k němu nedostanete.

Naproti tomu když budete mít aktivovaných těch metod přihlášení víc, i když jedna přestane fungovat (a je úplně jedno proč, jestli se něco změní u provozovatele nebo u vás), pořád máte další způsoby přihlášení, které můžete použít.

Ostatně je to vidět i na tomhle dotazu. Kdyby měl dotyčný vlastník účtu uložené záložní kódy, bez problémů se do účtu dostane. Kdyby tam měl aktivované potvrzování pomocí notifikací, bez problémů se tam dostane. Kdyby tam měl aktivované TOTP, bez problémů se tam dostane. Jenže on tam měl jenom jediný způsob ověření přes telefonní číslo a ignoroval výzvy Google k úpravě zabezpečení. No a teď se tam nemůže dostat, protože to ověření přes telefonní číslo přestalo fungovat (a je úplně jedno, zda je to chyba na straně uživatele, na straně Googlu, nebo zda je to záměr, protože Google přestal to telefonní číslo považovat za bezpečný způsob ověření).

No a pokud nejde o nějakou dočasnou chybu, což je dost nepravděpodobné, je docela pravděpodobné, že už se uživatel k tomu účtu nedostane. Protože Google ho nemá jak jinak ověřit.

[Reklama]

[houpal]

o plati maximalne pro vymazance jako ses ty. Mam v keypassu tisice uctu, i s naprosto primitivnim heslem na 3 znaky ... a vzivote sem o zadny neprisel. Ani jednou.

Plati totiz presny opak, znam destiky lidi kteri o ucet prisli prave proto, ze si zprovoznili nejakou uzasne bezpecnou metodu prihlasovani, a po par mesicich se uz prihlasit nemohli, protoze ... prisli o telefon, prestalo to fungovat, soudruh provozovatel neco zmenil ... atd atd atd.

Co udělá provozovatel, když zjistí, že máte slabé tříznakové heslo a je potřeba účet víc zabezpečit? Pošle vám e-mail, že je potřeba si účet lépe zabezpečit. Vy ten e-mail budete ignorovat nebo vám spadne do spamu a nic neuděláte. Pak vám pošle ještě druhý s konkrétním termínem, do kdy musíte změnu provést, a pak třetí, kde už bude napsáno, že pokud změnu do nějaké doby neprovedete, účet vám smažou a už se k němu nedostanete.

Naproti tomu když budete mít aktivovaných těch metod přihlášení víc, i když jedna přestane fungovat (a je úplně jedno proč, jestli se něco změní u provozovatele nebo u vás), pořád máte další způsoby přihlášení, které můžete použít.

Ostatně je to vidět i na tomhle dotazu. Kdyby měl dotyčný vlastník účtu uložené záložní kódy, bez problémů se do účtu dostane. Kdyby tam měl aktivované potvrzování pomocí notifikací, bez problémů se tam dostane. Kdyby tam měl aktivované TOTP, bez problémů se tam dostane. Jenže on tam měl jenom jediný způsob ověření přes telefonní číslo a ignoroval výzvy Google k úpravě zabezpečení. No a teď se tam nemůže dostat, protože to ověření přes telefonní číslo přestalo fungovat (a je úplně jedno, zda je to chyba na straně uživatele, na straně Googlu, nebo zda je to záměr, protože Google přestal to telefonní číslo považovat za bezpečný způsob ověření).

No a pokud nejde o nějakou dočasnou chybu, což je dost nepravděpodobné, je docela pravděpodobné, že už se uživatel k tomu účtu nedostane. Protože Google ho nemá jak jinak ověřit.

Pane Jirsáku, při vší úctě, já jsem žádné emaily neignoroval, tak ze mě nedělejte blbce prosím. Safety check mám u googlu v pořádku, do účtu se dostanu. Můžu s ním pracovat - tedy používat normálně většinu služeb, maily, drive atd.. Co nemůžu je měnit některá nastavení. Ještě před několika měsíci mi normálně ty G kódy na  mobil chodily, telefon byl ověřený, tak jak google vyžadoval.
Účet, jak jsem již předeslal, není můj, spravuji ho sporadicky  (většinou abych znovunastavil možnost používat smtp z thunderbirdu, protože to google jednou za pár měsíců svévolně vypne) pro aktivního důchodce, co nemá chytrý mobil. Takže jakékoliv prompty u toho nepřipadali v úvahu. Ano, mohl jsem si vygenerovat ty kódy, ostatně u svého účtu je mám, ale tady jsem nepředpokládal, že nastavená 2f přes mobil nebude fungovat. U jiného účtu, na jiný hloupý mobil, to pořád normálně funguje. A samozřejmě, po této zkušenosti, další možnosti přidám.

[noob]

Tlačítko Get Help bohužel nikde není. Na stránce dole je jenom Help a to odkáže na rozcestník témat nápovědy... :-(

Při zadávání verifikačního kódu vidím tlačítko "Try another way". Po kliknutí mi to nabídne mimo jiné "Get help - For security reasons, this may take 3-5 business days"

Tohle na Google nemám rád, že se někdy na různých účtech chová jinak

[Filip Jirsák]

Pane Jirsáku, při vší úctě, já jsem žádné emaily neignoroval, tak ze mě nedělejte blbce prosím.

Píšete, že účet není váš. Nemohl ty e-maily ignorovat vlastník účtu?

Ano, mohl jsem si vygenerovat ty kódy, ostatně u svého účtu je mám, ale tady jsem nepředpokládal, že nastavená 2f přes mobil nebude fungovat.

Vám to asi v tuhle chvíli nepomůže, spíš je to varování pro příště a pro ostatní. Autentizaci přes mobilní číslo bych fakt nepovažoval za něco velmi spolehlivého – způsobů, jak přijít o přístup k mobilnímu číslu, si dovedu představit spoustu. I jenom ztráta mobilu nebo SIMkarty znamená aspoň na čas o to číslo přijít, než od operátora získáte náhradní SIMku. Minimálně to vygenerování a uložení záložních kódů bych považoval za nutnost. Pokud ten účet spravujete pro někoho jiného, uložíte si je k sobě a je to.

Zkusil bych vzít čistý mobil s Androidem (po factory resetu), tam dát SIM s tím číslem a přihlásit se tam jenom tím účtem, (aby v tom mobilu nebyl jiný účet). To vidím jako nejpřesvědčivější způsob, jak Google přesvědčit, že to telefonní číslo vlastníte.

Předpokládám, že jste zkoušel poslat svou SMS na to číslo. Ještě bych zkusil podívat se na nastavení u operátora, zda tam není nějak zablokovaný příjem SMS ze zahraničí, se shortkódy apod.

Ale spíš si myslím, že není problém s příjmem té SMS. Podle mne se spíš něco stalo na straně toho účtu – buď se něco stalo s tím telefonním číslem (třeba ta změna státu), nebo Google nějak měnil práci s těmi telefonními čísly a s tím účtem jste prošvihli tu dobu, kdy bylo potřeba to nějak zmigrovat. Protože to, že Google tvrdí, že se to telefonní číslo změnilo, nebude samo sebou.

Na stránku zabezpečení Google účtu se dostanete?

[houpal]

Tlačítko Get Help bohužel nikde není. Na stránce dole je jenom Help a to odkáže na rozcestník témat nápovědy... :-(

Při zadávání verifikačního kódu vidím tlačítko "Try another way". Po kliknutí mi to nabídne mimo jiné "Get help - For security reasons, this may take 3-5 business days"

Tohle na Google nemám rád, že se někdy na různých účtech chová jinak

Když se snažím udělat nějakou změnu, třeba vygenerovat ty kódy, nebo se dostat do admin konzole, vybídne mě to na webu k poslání a zadání G kódu - obr 03. More ways mě navede na obr 04. Přičemž poslední dvoucifra je u obou stejná, jelikož žádný jiný telefon s tím účtem není propojený. Try another way nikde nemám.

Vyzkouším nápad pana Jirsáka s čistým androidem, jakmile budu mít příležitost.

[Reklama]

[houpal]

Zkusil bych vzít čistý mobil s Androidem (po factory resetu), tam dát SIM s tím číslem a přihlásit se tam jenom tím účtem, (aby v tom mobilu nebyl jiný účet). To vidím jako nejpřesvědčivější způsob, jak Google přesvědčit, že to telefonní číslo vlastníte.

Předpokládám, že jste zkoušel poslat svou SMS na to číslo. Ještě bych zkusil podívat se na nastavení u operátora, zda tam není nějak zablokovaný příjem SMS ze zahraničí, se shortkódy apod.

Ale spíš si myslím, že není problém s příjmem té SMS. Podle mne se spíš něco stalo na straně toho účtu – buď se něco stalo s tím telefonním číslem (třeba ta změna státu), nebo Google nějak měnil práci s těmi telefonními čísly a s tím účtem jste prošvihli tu dobu, kdy bylo potřeba to nějak zmigrovat. Protože to, že Google tvrdí, že se to telefonní číslo změnilo, nebude samo sebou.

Na stránku zabezpečení Google účtu se dostanete?

Vyzkouším co budu moct, s tím číslem jsem bohužel za poslední rok udělal několik změn, bylo nutno zrušit o2family zpátky k o2, plus jsem musel vyměnit simku abych ji dostal do chytrého telefonu. Teď jsem našel v nastavení že tam jsou blokované sms z emailu, tak jsem to odblokoval. Jiná relevantní nastavení jsem v účtu blokovaná nenašel.

Na stránku zabezpečení se dostanu. Viz obr 06. Ale jakékoliv kliknutí na volby mě hází na zadání hesla a potvrzení G kódem, viz předchozí odpověď.

Večer budu pokračovat.

[Filip Jirsák]

V té sekci How you sign into Google máte jenom tu SMS? Předpokládám, že ten screenshot Captuere04 je po kliknutí na More ways to verify.

Jenom takový zoufalý pokus – když tam máte vybraný jazyk Angličtinu (USA), zkuste tam češtinu a pak případně něco jiného z EU (Německo nebo Francii). Jestli to třeba u českého čísla neaktivuje tu volbu ověření přes telefonát.

Ještě mne napadá – podle e-mailu soudím, že tam máte e-mail na vlastní doméně. A předpokládám, že to je GMail zdarma, že to není Google Workspace. Pak k tomu musí existovat i e-mail v doméně gmail.com – zkusil bych se přihlásit tím. Ony se služby Google chovají občas trošku jinak, podle toho, zda se přihlásíte tím aliasem nebo primárním e-mailem (@gmail.com).

Ale vše jsou to takové zoufalé pokusy…

[houpal]

Díky za tipy, vyzkouším. A ano, je to email na vlastní doméně, osobní použití.  Pod tím adminem je jenom jeden uživatel/mail. Ten má přístup k mailu, ale zase ne k zabezpečení. Bohužel tel. číslo jsem kdysi zvolil stejné jako u toho admina.   
U obou se mi nějak podařilo nastavit sebeverifikaci telefonu, tak snad když tam dám tu simku a chvíli počkám, než se přežene bouře neúspěšných verifikací g kódem,  se z něj pak podaří přidat další možnosti, vygenerovat kódy nebo používat klíč. 

[houpal]

Update a vyřešení:
Účet jsem přihlásil na chytrém mobilu. Zároveň jsem zůstal přihlášený i na PC. Občas jsem jen kontroloval emaily na obou zařízeních. A nechal jsem to tak uležet pár týdnů. Dneska jsem zkusil přidat další možnosti přihlášení a šlo to. Tak jsem nastavil správnou 2f autorizaci, přidal klíč a vygeneroval backup kódy. To vše bez nutnosti ověření sms a g-kódem do telefonu.
Takže trpelivost a pár týdnů bez pokusování dokáže uchlácholit google tak, aby nepožadoval další bezpečnostní level.

[Jigdo]

Doporucil bych Vam pridat k tem 2FA SMS i TOTP jak uz nekdo psal.

(ty SMS jsou hodne nespolehlive a hlavne v zahranici,
a jak se ukazuje tak bud Vas mobilni operator neco zmenil a
nebo u Googlu) .....
A pokud pouzivate telefon v "Flight mode" + VoWi-Fi
tak ty authorizacni SMSky proste nekdy nechodi vubec,
pokud se clovek nezaloguje zase do site operatora


Az se Vam podari do toho uctu nejak dostat tak,
v mojich poznamkach mam, ze se to 2FA nastavuje tady:
https://admin.google.com/ac/security/2sv
(Jestli uz to zase neprehodili nekde jinde ....)

Pro Android existuje "FreeOTP+"
https://f-droid.org/packages/org.liberty.android.freeotpplus/

A na Debian "otpclient" client a nebo "oathtool" pro cli
https://packages.debian.org/bookworm-backports/otpclient
https://packages.debian.org/bookworm/oathtool

oathtool -b --totp 'XXXxxxxXXxxxxXXXXXXXxxxxXXXXxx'

Pokud nekdo pouziva pro TOTP neco jineho,
a je to v necem lepsi tak urcite napiste

[Ctrl+P]

Pokud nekdo pouziva pro TOTP neco jineho,
a je to v necem lepsi tak urcite napiste

Používám https://f-droid.org/packages/com.beemdevelopment.aegis/ a jsem s ním spokojená. Zvlášť když firemní účet MS moc neprotestoval, že ho používám místo jejich Microsoft Authenticator, ale ne že by MS při jeho nastavování trochu neházel klacky pod nohy A na Google taky funguje. Líbí se mi možnost zálohování, protože všude lidi u nevýhod TOTP píšou, že když člověku odejde mobil, tak je v háji, ale s touhle aplikací asi ne, ale nezkoušela jsem na vlastní kůži, tak to nemůžu říct s jistotou...

[Filip Jirsák]

Pokud nekdo pouziva pro TOTP neco jineho,
a je to v necem lepsi tak urcite napiste

Používám Bitwarden, v placené verzi má i podporu TOTP. Takže mám automaticky TOTP klíče zálohované na všech zařízeních, kde mám Bitwarden.

Sice to trochu přestává být 2FA, protože mám heslo i klíč pro TOTP v jednom správci hesel. Ale nepoužívám 2FA proto, že bych se bál úniku ze správce hesel, ale kvůli možné chybě na straně provozovatele služby nebo nějakého jiného úniku hesla. Původně jsem pro některé důležité účty (hlavně GMail) měl klíč pro TOTP jinde. Ale pak jsem zjistil, že aplikace, kterou pro TOTP používám, už není podporovaná, přestalo v ní fungovat zálohování – a uvědomil jsem si, že se víc bojím toho, že o ty klíče přijdu, než že uniknou z Bitwardenu. Tak jsem nakonec přidal do Bitwardenu i TOTP klíče k těm důležitým účtům.

[Zopper]

Pokud nekdo pouziva pro TOTP neco jineho,
a je to v necem lepsi tak urcite napiste

2FAS. Celkem pohodlná aplikace, open-source, má manuální import/export celé sady, u Apple i automatický iCloud sync a předpokládám, že na Androidu bude zas gdrive.