Konto Google, czy aby na pewno takie bezpieczne jakby się mogło wydawać?
06.03.2012 14:44
Ostatnio naszły mnie pewnego rodzaju rozmyślenia na temat tego czy moje konto Google byłoby bezpieczne gdyby ukradli mi telefon z Androidem, a wraz z kontem maile, które nie raz zawierają bardzo cenne dla mnie informacje jak np. dane potrzebne do zalogowania/zresetowania haseł do serwisów, dostępne z każdego miejsca dokumenty online, aż w końcu kontakty zarówno te mailowe jak i telefoniczne, no i zdjęcia w Picasa Web Album czy Google+.
Wydaje mi się, że nie do końca byłyby bezpieczne i postaram się przedstawić dlaczego. Równie dobrze mogłem gdzieś w moim rozumowaniu popełnić błąd, ale Wy go z pewnością wychwycicie od razu :)
Zacznę od tego, że Gmaila czyli poniekąd i całe konto Google mam w 100% zgodnego z Listą kontrolną zabezpieczeń Gmaila. Hasła do weryfikacji dwuetapowej do logowania na konto Google przychodzą na smartfona z Androidem którego mam powiązanego z kontem Google by móc korzystać z Android Marketu.
Rekonstrukcja ewentualnych zdarzeń
Załóżmy więc, że z przyczyn losowych smartfon zostaje skradziony lub po prostu go gubię, jakie kroki mogę poczynić, aby odzyskać dostęp do konta zanim np. zrobi to złodziej?
Pierwsze co robię to szybko siadam do kompa w celu zmiany hasła, loguję się do konta Google i tu pierwszy problem bo sms z kodem przychodzi na skradziony telefon, na szczęście mam wydrukowane kody zapasowe (lecz mimo tego złodziej już wie, że coś się dzieje, z jednej strony dobrze z drugiej niekoniecznie). Dostałem się na konto i zmieniam hasło, ale to dopiero początek bo teraz nasuwa się ważne pytanie, czy z poziomu Androida na smartfonie (w tym przypadku skradzionym) można zmieniać/resetować jakoś hasło do konta Google !? Spróbujmy na to pytanie odpowiedzieć. Złodziej ma dostęp do mojego maila bo skojarzenie Androida z kontem Google (a tak przecież miałem) pozwala korzystać z aplikacji poczty bez problemu, już w ogóle pomijam fakt, że złodziej posiadając telefon i całą masę danych zawartych w nim będzie wstanie odzyskać hasło które właśnie zmieniłem.
I tak np. z tego co sprawdzałem przypomnienie hasła w przeglądarce (dowolnej, nawet tej na smartfonie) jest możliwe na jeden z trzech sposobów:
- Nie pamiętam swojego hasła - tutaj prosi nas o nazwę naszego konta w formie maila, gdy go wpiszemy, ukażą się opcje, które nas interesują i wrócimy do nich w punkcie a)
- Nie pamiętam swojej nazwy użytkownika - tu poprosi nas o dodatkowy email, który podaliśmy przy rejestracji, załóżmy, że tą opcją złodziej się nie zadowoli bo nie ma dostępu do drugiego maila.
- Mam inne problemy z logowaniem - tutaj otrzymamy całe drzewko możliwości odzyskania hasła po podaniu naszych danych i tu złodziej raczej nic nie zdziała.
a)
- Odpowiedź na pytanie ochronne - tu mogą być problemy dla złodzieja, chyba że ktoś ustawił pytanie o imię swojej sympatii, a ta z kolei w kontaktach widnieje na pierwszym miejscu z wykrzyknikiem na początku
- Uzyskaj link do zresetowania hasła na pomocniczy adres e-mail: zapasowy@wp.pl - tu też raczej łatwo nie będzie, chyba, że właściciel na swojego głównego maila przekierował tego którego podał jako pomocniczego :)
- Uzyskaj kod weryfikacyjny przy użyciu telefonu: ••••••010' - a tu chyba żadnych problemów, złodziej mając nasz telefon może zmienić sobie hasło do naszego konta Google ? Wszystko wskazuje na to, że tak.
Dla zabezpieczonego dwuetapowo konta Google metody odzyskiwania są inne, poprzedza je komunikat:
Wygląda na to, że dla tego konta została włączona weryfikacja dwuetapowa. Aby zresetować hasło, musisz wprowadzić kod weryfikacyjny z telefonu.
[list] [item]Mogę uzyskać dostępu do telefonu lub zapasowych metod weryfikacji - ano złodziej nie będzie miał problemu z dostępem do kodów weryfikacji, które otrzyma na telefon.[/item][item]Nie mam dostępu do telefonu ani opcji zapasowych.[/item]
Ukończenie procesu odzyskiwania konta bez użycia telefonu może czasem zająć 3‑5 dni roboczych. Jeśli tylko tymczasowo nie masz dostępu do telefonu lub zapasowych metod weryfikacji, poczekaj, aż będzie on znowu możliwy i spróbuj wtedy zalogować się ponownie.
Formularz jest bardzo rozbudowany z mnóstwem pytań w celu zidentyfikowania, że my to my np: "Adresy e‑mail maksymalnie pięciu kontaktów, do których często wysyłano wiadomości", "Nazwy maksymalnie czterech etykiet" itd. Szkoda że takich spraw nie można telefonicznie załatwić, pewnie było by szybciej.
W tym wszystkim nasuwa się kilka pytań, czy Android automatycznie traci połączenie z kontem przy zmianie hasła do niego? Wydaje mi się, że tak Android zrywa połączenie pod warunkiem, że użyliśmy do połączenia hasła głównego konta Google, a nie hasła aplikacji bo takiego o ile pamiętam też można użyć do sparowania konta Google z Andkiem. Niby to jakieś pocieszenie, bo po zerwaniu złodziej nie będzie miał dostępu do wszystkich naszych danych typu Gmail, ale mimo tego nadal będzie miał możliwość
W jaki sposób zabezpieczyć się?
Poniżej przedstawię środki jakie ja stosuję, być może nie uchronią one nas całkowicie, ale w najgorszym przypadku dają trochę czasu zanim złodziej ‘zrobi użytek’ ze skradzionym smartfonem.
- PIN karty SIM - pierwsza linia obrony, lepiej go mieć bo to tylko kilka cyfr, które nie obciążą zbytnio naszej pamięci.
- blokowanie ekranu (na kod lub symbol) - druga linia obrony, opcjonalna ale i ją warto uaktywnić, jeśli nie chcemy pamiętać kolejnego pinu możemy zdefiniować sobie symbol odblokujący ekran.
- Application Protect - darmowy program umożliwiający ustawienie hasła podczas uruchamiania/usuwania/instalowania wybranych programów np. przeglądarka, Android Market, wspomniany klient poczty Gmail itd.
- darmowy program Prey - ostatnia deska ratunku, pomocny w celu zdalnego włączenia namierzania itp.
- włączona weryfikacja dwuetapowa - z dwojga złego lepiej jednak mieć ją włączoną zastosowanie się do Listy kontrolnej zabezpieczeń Gmaila.
Podsumowując, po skradzeniu smartfona zaczyna się wyścig szczurów pomiędzy użytkownikiem (czy uda mu się dostać do konta, przejść przez te wszystkie etapy weryfikacji i ostatecznie odłączyć numer telefonu komórkowego), a złodziejem (czy ten zmieni hasło, utrudniając lub nawet uniemożliwiając nam dostęp do konta Google). Tak więc pierwsze co trzeba się dobrze zabezpieczyć (byle nie popadać w paranoję), po drugie gdy zabezpieczenia zawiodą w jakiś sposób pozostaje szybka reakcja i zmiana danych konta.
Pamiętajmy zasadę, że Polak mądry po szkodzie :]
Na końcu chciałem prosić o wyrozumiałość, nie jestem polonistą i mam jaki mam sposób pisania, nie zmienię tego. Jedynie co to starałem się nie robić rażących błędów i przedstawić wszystko w miarę zrozumiale.
Miłego dnia.