un blog de Radu Dumitru

Uitați-vă și pe canalul meu de YouTube, dați un Subscribe dacă vă place.

Protejați-vă cât mai bine contul Google

17 Feb 2020  ·

TEHNOLOGIE  ·

36 comentarii

Urmăresc încercările celor de la Noobz de a-și recupera canalul de YouTube după ce un hacker vietnamez sau chinez le-a spart contul Google și le-a luat canalul. Au 9K subs acolo, momentan hackerul urcă clipuri cu emisiunile Judge Judy probabil pentru a face bani din reclame și cred că familia Gănescu are noroc că nu le-a șters clipurile lor din canal. Au început procedura de recuperare a accesului la cont prin Google.

Din ce-am înțeles, hackerul a folosit un script pus poate pe vreun site pentru a accesa lista de parole salvate în browserul lor Chrome, listă în care se afla și parola de la Google. Așa că haideți să învățăm cu toții ceva din asta, contul de Google fiind extrem de important în această vreme.

ASIGURAȚI-VĂ CĂ PAROLA GOOGLE NU ESTE SALVATĂ ÎN BROWSER

Unu la mână, nu salvați parola contului Google în Chrome. Nu știu cum poate fi accesată din exterior acea listă, că n-ar trebui să fie posibil, dar considerând că este o vulnerabilitate pe undeva, măcar nu țineți și parola Google acolo.

În Chrome, intrați în Settings -> Autofill -> Passwords. Veți vedea o listă de parole salvate în browser, ceea ce este o metodă foarte bună de a afla o parolă pe care poate nu o mai țineți minte, dar o aveți salvată în browser de acum mulți ani.

La capătul acelei liste este încă una în categoria Never Saved. Asigurați-vă că tot ce ține de Google se află acolo.

La mine așa era, deși nu țin minte să fi făcut vreodată această alegere. Cred că vine default. Dacă aveți totuși parola Google salvată în browser, ștergeți-o de acolo și, data viitoare când vă întreabă browserul dacă să o salveze, alegeți Never for this site.

ACTIVAȚI AUTENTIFICAREA ÎN DOI PAȘI (2 FACTOR AUTHENTIFICATION)

Asta se face din myaccount.google.com/security. Aveți pe acolo și o verificare de securitate și altele. Găsiți aici instrucțiuni în română, dacă e nevoie.

Puteți opta pentru 2FA sub diverse forme:

  • notificare pe telefon când încercați să vă logați undeva și trebuie să apăsați și în telefon că da, sunteți voi cei care vă logați.
  • mesaj SMS cu un cod care trebuie introdus.
  • apel telefonic care vă recită un cod.

Toate sunt cam 99% sigure. Inclusiv SMS-urile pot fi interceptate în cazul în care cineva chiar vrea musai să vă hăcuiască, dar acesta este un scenariu de nivelul serviciilor de informații, nu ceva ce poate face un hacker oarecare din altă țară sau chiar din preajma voastră, precum un prieten gelos.

SECURIZAREA TELEFONULUI

Musai de avut parolă sau amprentă sau altă formă de autentificare biometrică pe telefon. Bănuiesc că aveți deja, nu insist.

Ideea este că, dacă vă fură cineva telefonul, măcar să nu-l poată debloca și accesa conturile din el. Dacă este bine protejat, hoțul nu-i poate da decât un hard reset din combinațiile de butoane și apoi îl vinde gol, deci datele voastre nu sunt în pericol.

ADVANCED PROTECTION

Este un nivel de securitate oferit de Google pentru cei care chiar se cred amenințați de hackeri și se bazează pe niște chei de criptare. Aceste chei pot fi generate direct într-un telefon cu Android sau iOS sau puteți cumpăra chei de criptare fizice.

Citiți aici despre Advanced Protection. Cred că marea majoritate a oamenilor nu au de ce să apeleze la așa ceva.

UNDE ESTE PUNCTUL SLAB AL ACESTOR METODE

Toate se bazează pe un telefon mobil. SMS-ul 2FA sau notificarea de aprobare a unui login ajung pe telefonul vostru. Dacă pierdeți telefonul, nu veți putea să vă logați în contul Gmail de pe un dispozitiv nelogat direct, că nu aveți cum să primiți acel SMS sau prompt.

Mie mi se pare că tocmai atunci apare un point of failure în lanț. Dacă pierzi telefonul, primul gând ar trebui să fie “stai să schimb parola de la Google, că altfel cine știe ce-mi face hoțul prin telefon”, considerând că poate să-l acceseze. Fără telefon, însă, nu vă puteți loga la primul PC care vă iese în cale pentru a face asta, ci cel mult la cel propriu de acasă, considerând că erați logat dinainte în Gmail sau alt serviciu Google.

Nici atunci nu este vreo garanție, de fapt, că veți putea schimba parole. De obicei Google, când vede că accesați astfel de setări, vă cere oricum parola și posibil și acel cod SMS.

N-am o problemă că serviciile bancare folosesc mesaje SMS, de exemplu, pentru că pot oricând merge la bancă pentru a schimba “parola”. La Google la ușă, însă, nu ai cum să mergi, iar serviciul în acest caz este însăși telefonul mobil.

Chiar și Google spune ceva asemănător:

If you have lost your keys or your phone, and do not have access to a logged-in session, you will need to submit a request to recover your account. For your safety, it will take a few days for Google to verify it’s you and grant you access to your account.

Interesant cum, dintr-o dată, începi să-ți dorești ceva asemănător cu tokenul ING ca backup pentru chestiunile cu adevărat importante, nu? Chiar există așa ceva, dar sunt dificil de cumpărat și majoritatea nu vor face asta.

O soluție rămasă trebuie activată manual din meniul ce apare după activarea 2FA. Se numește Backup Codes și generează 10 coduri ce pot fi utilizate dacă nu ai acces la telefon. Ideea este să le tipărești și să le păstrezi într-un loc sigur în caz de nevoie. Nu-i o idee rea, eu aș lua unul sau două cu mine într-un concediu prin cine știe ce zonă obscură unde ai putea descoperi că nu primești SMS-uri sau îți pierzi telefonul.

    36 comentarii

  1. E amuzant 2FA. Am observat la ubisoft, daca ai uitat de el si ai vandut telefonul vechi sau i-ai dat hard resest, e chinul de pe lume sa obtii accesul inapoi. Bine ca nu ma ocup cu bișnița cu telefoane si alea vechi isi gasesc alta utilitate prin casa.

      (Citează)

  2. O idee buna pentru 2FA este folosirea unui hardware key. Cheile titan de la google si ubikey sunt foarte folositoare (titan trebuie important insa ubi gasesti si in .ro)

      (Citează)

  3. Eu mai folosesc Google Authenticator, de exemplu pentru logarea pe serverul de NAS + backup in mai multe locatii si servere la toate datele importante. Google authenticator elimina riscul atacurilor sms-based.
    In plus am setat DNS-urile 208.67.222.222 si 208.67.220.220 de la openDNS(detinut de Cisco) ce blocheaza accesul la site-uri malitioase.

    Mi se pare ciudat ca i s-a intamplat asta tocmai lui Cristian. Am fost impreuna la prezentarea celor de la Cisco privind modul in care sa te protejezi impotriva unui atac informatic si parea foarte in tema la momentul respectiv. Imi pare rau pentru ei…

      (Citează)

    • Am pățit cu google authenticator ca după un update sa dea crash pe pornire, pe telefon de la google (Nexus, pixel). Noroc ca aveam root și am copiat datele stocate în sistem și am făcut revert la versiune anterioara, altfel eram pa.
      Authy de exemplu oferă sincronizare în cloud cu criptare,astfel ai aplicația pe mai multe dispozitive.

        (Citează)

  4. Pe mine a inceput sa ma sperie in ultimul timp gandul ca daca imi pierd telefonul pierd accesul la Revolut si acolo imi primesc salariul deci am ceva bani in el tot timpul…
    Stie cineva cat de usor se poate recupera un numar de telefon care e pe cartela Vodafone?

      (Citează)

  5. lol. la cat de varza sunt aia ce te mira?

    aia trebuiau sa curete cartofi intr-un restaurant cam ala-i nivelul…

      (Citează)

  6. Cu ce e mai bun “advanced protection” decat 2fa (nu via sms), si daca activezi advanced protection practic nu iti inlocuieste 2fa-ul cu asta?

      (Citează)

  7. Se intampla sa lucrez in domeniu, asa ca adaug si eu cate ceva :)

    Recomandari suplimentare:
    -alegerea unei parole unice, lunga si generata aleator. Ceva de genul hzFoyJdp7X*&mvQzb5vRyjy5lx3W2*IL5&O73YRR
    – folosirea unui password manager. Cele doua recomandari merg mana in mana.

    Apoi, legat de 2-factor authentication:
    – SMS-ul nu este recomandat. Atacurile care se bazeaza pe clonarea SIM-urilor sunt mai usor de pus in practica decat crezi.
    – o metoda mai buna o reprezinta aplicatiile care genereaza un cod unic (ex. Authy, Microsoft Authenticator, Google Authenticator, etc). Atentie la cele care nu fac back up in cloud: daca stergeti aplicatia/pierdeti telefonul, ati pierdut accesul la cont (cu exceptia cazului in care ati salvat coduri de backup statice)
    – salvati codurile unice de backup in password manager. Nu stiti cand veti avea nevoie de ele (vezi mai sus)

    Nu intru in detalii legate de cheile hardware de autentificare (de tip Yubikey); majoritatea utilizatorilor nu le vor folosi niciodata.

    Google Advanced Protection poate avea sens pentru cei al caror business depind de serviciile Google. De cateva saptamani nu mai e nevoie de cheie hardware pentru a folosi acest program.

    Asta e tot.

    PS: mai multe detalii si sursa informatiilor de mai sus: https://how2factor.info/ (ceva ce am creat in urma cu cateva luni)

      (Citează)

  8. curios e că mi-am schimbat parola la Google acum 2 zile, fix pe aceeași teamă. Aveam aceeași parola pe mai multe site-uri și m-am gândit ca dacă va fi spart unu, vor fi sparte toate.
    M-am gândit că o idee bună să am o altă parolă pe Google, să am o bază solidă măcar.

      (Citează)

  9. Eu n-am auzit de Noobz si familia Gănescu pana acum.

      (Citează)

    • Nici eu, si nici nu i-am vazut comentand pe aici, doar Zoso mai spune ceva in rest se pare ca este ranchiuna intre vloggerii si bloggerii din Romania.

        (Citează)

    • N-ai pierdut nimic. Niste terminati care isi dau cu parerea despre orice fara macar sa testeze. Au un clip in care arunca cu rahat in Revolut si mai si zic ca ei nu l-au folosit niciodata. Patetici…

        (Citează)

  10. Parolele din Chrome nu au fost sparte, altfel nu mai aveau acces la nimic. De altfel parolele nici nu pot fi sparte prea usor. In schimb se pot fura sesiunile. Recomand sa dati mereu logout/logoff atunci cand iesiti dintr-un cont, nu inchideti fereastra la browser si nici nu faceti swich la alta pagina din browser. Logout-ul e sfant! Nu inteleg cum Google nu le-a trimis notificare cu o logare de pe un dispozitiv nou (eu de obicei primesc aceasta alerta instant in telefon cat si pe emailul secundar). Daca n-au primit nicio alerta atunci PC-ul lor a fost compromis sau accesat de la distanta. Posibil ca ei sa fie vulnerabili chiar si acum si sa nu stie.

      (Citează)

    • Presupun ca hacker-ul a schimbat parola si a sters toate sesiunile. Poti sterge de la Google Account, Security checkup, toate dispozitivele de pe care te-ai conectat.
      Mai greu e de intrat. Odata intrat e greu sa-l mai opresti pe hacker.

        (Citează)

  11. Mai nou daca ai telefon samsung si ai si cont samsung si control de la distanta poti sa-i dai reset si tot nu il va putea utiliza hotul ca iti va cere sa introduci vechea parola de la dispozitiv si daca reuseste sa o sparga stii ca niciun cont de al tau nu mai exista pe el nici pe cartela sau card sd

      (Citează)

  12. Multumesc mult pentru sfaturi!

      (Citează)

  13. Okochea:
    Eu n-am auzit de Noobz si familia Gănescu pana acum.

    Suntem oameni faini, Okochea, fii sigur de asta. :) Însă, la fel de vulnerabili ca toți utilizatorii online. Ce să facem, mai suntem și noi oameni. Chiar dacă vorbim de tehnologie din 2013, asta nu ne face imuni la hackeri. E bine că putem fi un exemplu de la care alții pot învăța cum să nu sau cum să da.

      (Citează)

  14. Util articolul, nu stiam de chestia cu back-up codes

      (Citează)

  15. Mai sunt 2 chestii pe care le-am facut, pe langa 2FA in Google:

    1) setat telefonul sa NU imi arate continutul notificarilor pe lock screen. Asta e pain in the ass, dar noh, security vs convenience. Problema e ca daca ai continutul afisat in lockscreen, atacatorul poate afla OTP codurile din SMS fara sa deblocheze telefonul. E drept ca Google mai foloseste si confirmare pe telefon (un ecran pe apare pe telefon, prin care confirmi ca tu esti ala care incearca recuperarea contului; daca e ecranul locked, nu ai acces la acel ecran). Insa la textul SMS tot ai acces, daca ai continutul notificarilor afisat pe lockscreen.

    2) folosesc de foarte mult timp un password manager, recomand puternic. Ca e unul cloud based (LastPass, OnePassword) sau unul mai simplu (Keepass), fiecare parola de la fiecare cont e unica si foarte greu de spart. Eu folosesc Keepass, replicat pe fiecare device prin Nextcloud (dar merge bine si prin Dropbox/GDrive).

    Mi-am cumpat si un YubiKey, pe care l-am inregistrat la Google (acel Advanced Protection). Cu cat ai mai multe metode de a recupera contul, cu atat mai bine.

      (Citează)

  16. Eu folosesc această combinație (Google, G Suite si Facebook)
    1) Parolă complexă (18 – 20 caractere. Caractere mici, mari, speciale)
    2) 2FA – Nu folosesc nici SMS, nici Authenticator. Folosesc Yubico (Am 2, de backup)
    3) Am codurile de Backup (10 coduri) într-un Apple iCloud Notes, care e deasemenea protejat (Cu o altă parolă decât cea de la iCloud și cu Face ID)

    Pentru alte aplicații care nu suportă Yubico (Gen Adobe ID) folosesc Microsoft Authenticator. Este evident superior Google Authenticator și îmi face backup la QR-uri în iCloud și îl pot restaura pe alt dispozitiv. Cu Google Authenticator mi-am luat-o când am resetat telefonul și m-am chinuit să recuperez contul.

    Eu asta folosesc.

      (Citează)

  17. BogdanM:
    2) folosesc de foarte mult timp un password manager, recomand puternic. Ca e unul cloud based (LastPass, OnePassword) sau unul mai simplu (Keepass), fiecare parola de la fiecare cont e unica si foarte greu de spart.

    Fiecare parola e unica si greu de spart dar daca e compromis password manager-ul pierzi controlul asupra tuturor conturilor. Don’t keep all your eggs in one basket!

      (Citează)

  18. Mike: Fiecare parola e unica si greu de spart dar daca e compromis password manager-ul pierzi controlul asupra tuturor conturilor. Don’t keep all your eggs in one basket!

    Nope, sfatul asta nu e bun deloc. Password managerele sunt recomandate si incurajate de toate entitatile din domeniul securitatii IT (NIST, NCSC, SANS, etc).
    Parola ideala trebuie sa fie generata aleator, lunga si unica. Cum fiecare dintre noi avem peste 20 servicii online, memorarea acestor parole nu e o solutie practica. La fel cum nici scrierea pe o hartie.

    Password managerele ofera cea mai buna solutie si trebuie evident protejate cu mai multi factori.

      (Citează)

  19. Ce țineți voi prin conturile alea de google sau asa in general pe alte lucruri, ca va temeți de pildă de interceptări de sms-uri si de altele?
    Eu folosesc doar lastpass cu o parola de 4 cuvinte ceva numere si semne, pe telefon screen lock si cam atât. Oricum nu o sa imi fure chinezii contul, iar daca vor serviciile sa intre in ele oricum imi baga un cablu in telefon la o instituție la care trebuie sa las telefonul la poartă (da se mai practică, mare siguranță națională sa nu intri cu echipament de stocare si gsm ce sa zic)

      (Citează)

    • Cătălin Tănase

      17/02/2020 la 6:48 PM

      Datele cardului, contactele, pozele din ultimii zece ani… In general existența mea digitala.

      Și da, folosesc autentificare in doi pași de când a apărut, inclusiv cu backup prin alte metode, in caz că pierd telefonul

        (Citează)

    • am patit sa se comporte diferit telefonul dupa ce l-am lasat intr-o cutie din asta la o “institutie”. informatia e specialitatea lor, asa ca e de inteles. a fost si timp, ca am stat cateva ore acolo.
      nu stiu ce a patit sau ce nu, dar stand pe birou i se tot aprindea ecranul, fara notificari etc.
      s-a rezolvat dupa ce am flashuit alt ROM.

      chestia cu cutia si cablul o fac si altii care sunt mai darnici cu democratia. :)

      cand asta cu cutia nu se face ca ia informatii de la altii, o fac pentru ca au fost cazuri cu telefoane cu ceva mai multe componente decat ar fi fost necesare si care nu serveau utilizatorului.

        (Citează)

    • Eu am patit intr-o companie de stat, de-asta mai plina de baieti destepti. A fost totul wireless, telefonul in posesia mea, dar ca un facut la cateva minute dupa ce intrasem am primit un apel de pe numar necunoscut. Am raspuns, apelul s-a deconectat, dupa care telefonul a inghetat. Dupa repornire nu mai gasea reteaua.
      Cred ca a fost mai mult o forma de bruiaj.
      L-am lasat si eu in buzunar cu bateria scoasa pana am iesit de acolo.
      Bine ca nu s-a continuat proiectul ala, nu-mi placea deloc atmosfera din zona.

        (Citează)

  20. Bogdan:
    L-ai cumparat din Ro? Sau ai plătit transport 30USD de la ei direct?

    https://yubikey.co.ro/shop

      (Citează)

  21. Bogdan:
    L-ai cumparat din Ro? Sau ai plătit transport 30USD de la ei direct?

    De pe Amazon.co.uk (https://www.amazon.co.uk/gp/product/B00LX8KZZ8/ref=ppx_od_dt_b_asin_title_s00). Am mai luat inca ceva (husa telefon si sticla protectie telefon) si a fost 5.6 lire transportul.

      (Citează)

  22. Eu am platit FIX 580 Lei pentru 2 bucati (1NFC si 1USB-C). Luate direct de pe Yubico, venite prin DHL daca nu ma insel in cateva zile.

    Teniescu:
    am patit sa se comporte diferit telefonul dupa ce l-am lasat intr-o cutie din asta la o “institutie”. informatia e specialitatea lor, asa ca e de inteles. a fost si timp, ca am stat cateva ore acolo.
    nu stiu ce a patit sau ce nu, dar stand pe birou i se tot aprindea ecranul, fara notificari etc.
    s-a rezolvat dupa ce am flashuit alt ROM.

    chestia cu cutia si cablul o fac si altii care sunt mai darnici cu democratia. :)

    cand asta cu cutia nu se face ca ia informatii de la altii, o fac pentru ca au fost cazuri cu telefoane cu ceva mai multe componente decat ar fi fost necesare si care nu serveau utilizatorului.

      (Citează)

  23. @Quote-ul era pentru Bogdan :D

      (Citează)

  24. La faza cu SMS-ul, exista o sansa sa iti recuperezi numarul de telefon.
    E simplu: Mergi la cel mai apropiat vodafone, orange, etc.
    Ceri cartela cu numarul de telefon pe care il aveai. Si o bagi in alt telefon. Asa primesti sms-ul.
    Din momentul ala, cartela de pe telefonul furat devine inactiva.
    Asa am rezolvat problema cand ni s-a furat un telefon si aveam nevoie de el urgent.

      (Citează)

  25. BogdanM:
    Problema e ca daca ai continutul afisat in lockscreen, atacatorul poate afla OTP codurile din SMS fara sa deblocheze telefonul.

    In clipa in care ti se fura telefonul, cel mai indicat este sa fugi repede la un furnizor de telefonie mobila si sa iti cumperi cartela cu numarul tau de telefon si o bagi in alt telefon, ca sa o dezactivezi pe cea de pe telefonul furat. Asa vei primi SMS-ul de la Google.
    Am patit asta cand mi s-a furat un telefon si asa am rezolvat rapid si am recuperat tot.

      (Citează)

    Alătură-te discuției, spune-ți părerea:

    Your email address will not be published. Required fields are marked *

    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu. Fără înjurături și cuvinte grele, că vorbim prietenește aici, și fără mesaje doar de dragul URL-spam-ului. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt binevenite. Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea.

sus