Gmail recovery savet

[Cortez]

Zdravo svima.
Treba mi savet.
Imam jedan gmail nalog koji mi je recovery mail za sve ostale naloge. Ima ih još sedam komada.
Kolega je ostao bez naloga i njegova patnja da vrati sve što mu je bilo vezano za taj nalog me motivisala da porazmislim o svom gmailu i sad se brinem zato što nemam recovery mail za glavni nalog.
Razmišljao sam da napravim još jedan nalog koji bi služio samo da bude recovery glavnom mailu... ali onda taj nalog nema recovery email.
Jasno vam je kako ovo ide dalje.

Razmišljao sam da ih napravim da budu jedan drugom recovery u krug, ali ako je jedan kompromitovan, onda su svi u potencijalnom problemu.

Kapiram da paranoišem, ali dosta raznih servisa mi je vezano za taj nalog i samo kad pomislim da bih morao sve to ispočetka da pravim nije mi dobro.

Imam i 2FA i kompleksnu šifru.
Šta bih još mogao da uradim?
Ili preterujem?

 

[Nidzo]

Pretjeruješ

 

[shamanNS]

Staviš Yahoo mail adresu kao recovery mail za Gmail adresu 😂😂

 

[nidza]

Ne preteruješ, možeš jedan mejl da imaš za recovery, koji ima glup naziv, šifru i da ne postoji nigde sem u tvojoj glavi. Ja sam na desetak dana bio bez glavnog gmail naloga i samo ću ti reći, šta god da uradiš - uradi. Laganini ugase 2FA i sve, samo li ti se dokopaju sesije, što može da se desi na bezbroj načina. Promene šifru, prebace 2FA na svoj telefon, svoj otisak, za minut nemaš više ništa.

 

[Cortez]

Ne preteruješ, možeš jedan mejl da imaš za recovery, koji ima glup naziv, šifru i da ne postoji nigde sem u tvojoj glavi. Ja sam na desetak dana bio bez glavnog gmail naloga i samo ću ti reći, šta god da uradiš - uradi. Laganini ugase 2FA i sve, samo li ti se dokopaju sesije, što može da se desi na bezbroj načina. Promene šifru, prebace 2FA na svoj telefon, svoj otisak, za minut nemaš više ništa.

Tako nekako i ja to vidim.
Pomenuo sam gore kolegu. Nije tehnički neobrazovan, nije se "riskantno" ponašao i nema pojma kako se to desilo. A od Googlea nema mnogo pomoći u takvim situacijama.

 

[LukasP]

2FA je mama, to stavis i 99.99999% si siguran

 

[nidza]

Ma nije bre, ne ložite se. Meni su skinuli sve, i 2FA. Ničemu nije imao pristup sem Chrome sesiji, a nju mogu da ti drpe na bezbroj načina, jednostavno je šupalj. Najjednostavniji način je da imaš add-onove na Chomu, a svako ih ima. Prosto se updatuje ponekad šuplja verzija i do vi đe nja. Možda su ti u čačkali po kompu, nego nisu ništa našli, pa ih nisi zanimao. Ne bi to nikad mogao da saznaš.

2FA nije uopšte siguran, ako nemaš još neke dodatne metode zaštite. Na primer USB token, koliko vas to ima? Zatim, makar ključeve da li je bekapovao kad je generisao passkey? Sve te stvari ne radi skoro niko, osloni se na 2FA, koji nije nikakva sigurnost, sem što ne kucaš šifru.

 

[LukasP]

2FA nije uopšte siguran, ako nemaš još neke dodatne metode zaštite. Na primer USB token, koliko vas to ima? Zatim, makar ključeve da li je bekapovao kad je generisao passkey? Sve te stvari ne radi skoro niko, osloni se na 2FA, koji nije nikakva sigurnost, sem što ne kucaš šifru.

A kako nije siguran 2FA, mislim ne razumijem se u detalje pa pitam ? Kontam kako ide kradja memorisanih lozinki ali ako može neko 2FA da zaobidje ili lažira ?

 

[nidza]

A od Googlea nema mnogo pomoći u takvim situacijama.

Meni su živi ljudi iz Google vratili nalog, ali to je bila agonija. Automatski da vratiš nema teoretske šanse, haker, ili neka automatska skripa ti sve zaštite anulira.

Od toga nema odbrane, ali ako imaš hardverski USB token ili bekapovane kodove, sa njima možeš da vratiš uz pomoć stare šifre ili starog recovery mejla - pošto će sve da ih haker izmeni. 2FA će da prenese na svoj uređaj.

@LukasP napisao sam ti iznad, preuzme tvoju Chrome sesiju (na primer). Ima i drugih načina. Dovoljno je da si ulogovan na računaru za kojim ne sediš, on preuzme tvoju sesiju i nastavi da radi kao ti, prebaci sve svoje na sebe. Meni su stigle sve notifikacije korak po korak kako je sve preuzimao na sebe, i da sam bio prisutan prekinuo bih proces, ali nisam bio. Posle sam video sve šta se desilo.

Takođe kao i ti i svi vi, mislio sam da sve znam i da sam mnogo pametan, da je 2FA dovoljno dobra zaštita. Dečji kompjuter je imao kompromitovan Chrome i na njemu sam ostao ulogovan, sa aktivnom sesijom. Otad, ne samo da nemam aktivnu sesiju na njihovim računarima, nego se u životu nisam ulogovao na nijedan uređaj koji nije moj lični, niti ću to ikad da uradim.

 

[Unofficial]

Razmisljam na istu temu kao autor teme. Citam temu yahoo nalog kao recovery za Google. Preporucljivo ili ne? Hvala

 

[Cortez]

Ključeve sam bekapovao odavno i sad kad si ih pomenuo skontao sam da nemam pojma gde sam ih bekapovao.
To je isto dobar hint.

 

[nidza]

Šta sam ja skontao do sad:
--------------------------------
Kome nije jasno šta je potrebno da uradi, manje razbijajte glavu kako da zaštitite gmail nalog od mogućeg oduzimanja, jer to može da se desi svakom. Nema leba da se 100% zaštitite od toga, jer je u pitanju besplatan mejl servis. Da bi žive ljude uvek imali u podršci, za to mora da se plati, tj. da imate neki od profesionalnih naloga Workspace.

Ako ćete da ostanete besplatni, a to je verovatno želja svih ovde, osigurajte da u slučaju da se nešto desi nalogu, da uvek možete da ga vratite nazad. Postoje razni tutoriali, ali bar bekap onih 10 kodova da sklonite na sigurno. Može da se nabavi i onaj USB token, pa se izgeneriše iz gugla. To možda nije loše imati.

 

[outlaw]

ali bar bekap onih 10 kodova da sklonite na sigurno

Nisam se do sada bavio ovim, ali me je ovaj thread zaintrigirao - ukratko, u slučaju da mi hakuju mail, sa ovim kodovima mogu brzo/lako da ga povratim nazad?!

 

[nidza]

Ako se to desi, kad ti traži šifru, moraš da pristupaš sa uređaja sa kog si ranije najčešće pristupao (verovatno telefon) i kucaš staru šifru, poslednju sa kojom si imao pristup (pošto je, je li, promenjena, kao i telefon, kao i recovery nalozi). Tu će ti tražiti dodatnu identifikaciju da si to ti. Zato treba sve moguće metode povraćanja naloga iskoristiti. Ako imaš passkey možda će da ti traži i prođe sa starim, ali i to sve može da ne funkciniše, tad je poslednja solucija sa generisanim kodovima (dok si imao pristup nalogu) ili USB token. Ja ove dve stvari poslednje nisam imao i vrtelo me je u krug. Tek kad sam se dokopao žive podrške rešili su za 5 minuta: poslali mi direktno oni link za reset šifre.

 

[Cortez]

Hvala za info.
Spremio sam kodove, a definitivno ću razmisliti i o USB tokenu.

 

[mlax37]

Šta sam ja skontao do sad:
--------------------------------
Kome nije jasno šta je potrebno da uradi, manje razbijajte glavu kako da zaštitite gmail nalog od mogućeg oduzimanja, jer to može da se desi svakom. Nema leba da se 100% zaštitite od toga, jer je u pitanju besplatan mejl servis. Da bi žive ljude uvek imali u podršci, za to mora da se plati, tj. da imate neki od profesionalnih naloga Workspace.

Ako ćete da ostanete besplatni, a to je verovatno želja svih ovde, osigurajte da u slučaju da se nešto desi nalogu, da uvek možete da ga vratite nazad. Postoje razni tutoriali, ali bar bekap onih 10 kodova da sklonite na sigurno. Može da se nabavi i onaj USB token, pa se izgeneriše iz gugla. To možda nije loše imati.

Ja recimo plaćam ovaj servis, imam google one godišnji plan. Mada ne vidim da je zaštita išta drugačija nego za besplatan plan.
Jel može kratko uputstvo za te kodove ili link? Nisam do sada čuo za to

 

[nagard]

Hvala za info.
Spremio sam kodove, a definitivno ću razmisliti i o USB tokenu.

Gde ima da se kupi taj usb token?

 

[Recoba20]

Ne preteruješ, možeš jedan mejl da imaš za recovery, koji ima glup naziv, šifru i da ne postoji nigde sem u tvojoj glavi. Ja sam na desetak dana bio bez glavnog gmail naloga i samo ću ti reći, šta god da uradiš - uradi. Laganini ugase 2FA i sve, samo li ti se dokopaju sesije, što može da se desi na bezbroj načina. Promene šifru, prebace 2FA na svoj telefon, svoj otisak, za minut nemaš više ništa.

New fear unlocked... 😱

Kakva je situacija sa ostalim browserima? Jesu li išta sigurniji od Chrome?

 

[nagard]

Jel može kratko uputstvo za te kodove ili link? Nisam do sada čuo za to

Uđe se na account security, pa se nađe Generate backup codes, on ispiše 10ak u formatu

NNNN NNNN NNNN NNNN
NNNN NNNN NNNN NNNN
NNNN NNNN NNNN NNNN

To sačuvaš negde na sigurno mesto. Kada imaš problem sa logovanjem, ponudiće u nekom trenutku opciju "using backup key" pa uneseš jedan od tih i zabeležiš povratno kod sebe da si ga iskoristio.

 

[Cortez]

Gde ima da se kupi taj usb token?

Ovde sam našao da Google predlaže Titan security key sa njihovog storea i "compatible keys from trusted retailers".
Titan je 30 funti.

Što neko reče gore - new fear unlocked. Što više gledam, više sam paranoičan.

 

[LukasP]

Ja sam malo citao i navodno je 2FA poprilično pouzdan, daleko da je savrsen ali da je razlika sa i bez 2FA ogromna. Ono kao treba bukvalno neko da ti odradi neke od stvari:

• presretne poruku
• navede te da svoj kod ukucas u laznu stranicu
• odradi SIM swapping
• ako je stranica koja prima kod komprovitovana (mozda neka najrealnija mogucnost ali opet sumnjam da bi gmail npr sebi dozvolio da lako padne na ovo)

a sve je ovo dosta kompikovano da se radi "obicnom covjeku"

 

[Cortez]

a sve je ovo dosta kompikovano da se radi "obicnom covjeku"

I ja sam mislio da će 2FA i to što sam "običan čovek" biti dovoljno, dok se kolegi nije desilo.
Sad mi je malo frka.
Ali mislim da backup kodovi stvarno nisu problem da se generišu i sačuvaju negde i da završavaju posao... ako uspem da iskontrolišem paranoju.

 

[Space Beer]

U slučaju koji nidza pominje, problem je korišćenje nebezbednog softvera (da li sumnjive ekstenzije ili dečji računar). Tj. sam je sebi stvorio veći rizik, ali to je nešto što većini može da se desi.

Ja recimo plaćam ovaj servis, imam google one godišnji plan. Mada ne vidim da je zaštita išta drugačija nego za besplatan plan.
Jel može kratko uputstvo za te kodove ili link? Nisam do sada čuo za to

Nije zaštita drugačija, ali kada plaćaš neku uslugu, veća je šansa da ćeš dobiti čoveka kao podršku tokom procesa vraćanja naloga. To je možda i najveća prednost manjih provajdera.

Kakva je situacija sa ostalim browserima? Jesu li išta sigurniji od Chrome?

Ne, još su gori. Tj. Firefox je manje siguran, ostali, bazirani na Chromiumu, su manje-više isti. Ali više je do korisnika (sajtova, ekstenzija) nego do browsera. Pri tom, uvek se može koristiti više browsera ili profila za različite stvari. A sve što iole izgleda da može biti problem, nikako van VM-a, mada ni to nije garancija. Tj. najbolje je izbegavati sumnjive sajtove, programe, ekstenzije

 

[Ludak]

Zašto misliš da je Firefox manje sigurniji za takav napad?

 

[Space Beer]

Ne mislim da je manje siguran za ovakav napad, već da Google više radi na sigurnosti i brže implementira neke značajnije mehanizme zaštite (npr. site isolation još uvek ne postoji u mobilnoj verziji FF-a). Ali imajući u vidu broj rupa koji se svake godine otkrije i zakrpi, ne treba se uzdati ni u jedan browser ili OS, već u sebe samog.

 

[jimmytza]

Nema potrebe za za "otključavanjem straha". Proaktivnost je svakako poželjna. Ja ću da podelim kako ja radim, ne znači da je najbolje i da svako tako treba da radi.

Veoma sam izbirljiv koje ekstenzije koristim na Chrome-u koji koristim kao glavni browser. Na njemu imam samo uBlock Origin i Bitwarden ekstenziju. Za sve ostale ekstenzije sam skinuo Thorium zato što sam hteo da ga isprobam i Chrome based je. U njemu sam ulogovan sa nekom levom Gmail adresom, pa ako su ekstenzije maliciozne, slobodne neka vršljaju. Na svom primarnom Gmail nalogu nemam 2FA/security key. Pristupam mu preko Bitwardena sa biometrijom. Kao dodatni korak, primarni Gmail nalog mi je otvoren u Librewolfu (ne mora, može i na Chrome-u sa 2 ekstenzije). Ovako radim duže vreme, za sad funkcioniše. Staviću i 2FA u dogledno vreme, za sad me mrzi.

Pazite koje ekstenzije skidate i ne držite sva jaja u istoj korpi.

 

[Cortez]

Google ne bi bio Google kad mi ne bi tokom skrolovanja ponudio tekst na temu o kojoj sam sa nekim razgovarao, negde pisao ili samo razmišljao.

eHealth BrandVoice: In-Person, Online With Today’s Medicare Beneficiaries

eHealth launched “LiveAdvise”, allowing beneficiaries to consult with a live agent face-to-face by video while reviewing your coverage options together.

www.forbes.com

Ukratko... nije tako retko da običan svet izgubi pristup nalogu. Uglavnom je razlog malver i "session cookie theft".
2FA je ranjiv, Google preporučuje passkey.
Preporučuje se i recovery broj telefona i email.
Čak i ako vam promene recovery broj imate do sedam dana da iskoristite svoj broj telefona da povratite nalog, a u slučaju emaila imate do 7 dana da zatražite kodove za logovanje na stari email.
Ako se prijavljujete sa novog uređaja možda nećete dobiti mogućnost da promenite info za oporavak.

 

[Cortez]

Nekako sam useo pogrešan link da stavim.

Gmail Takeover Hack Attack—Google Says You Have 7 Days To Act

As Gmail users complain hackers have compromised accounts, changing passwords and passkeys in the process, Google advises they have 7 days to regain control—here’s how.

www.forbes.com

 

[LukasP]

A kazite mi ono kada se registrujete na neke stranice, forume i cuda direkt mailom, znaci ne ono da pravite nalog pomocu maila, komplet registracija vec ona opcija uloguj se pomocu gmaila...da li je to opasno ?

 

[jimmytza]

Ako ti uzima avatar, email adresu i ime, to je default. Vodi računa da ne prihvatiš da ti pristupa mail-ovima, Google Drive-u itd.