Aujourd'hui, j'ai essayé de me connecter à mon compte Google pendant mes études universitaires. Google a bloqué la tentative et a demandé un numéro de téléphone. Voici une capture d'écran du formulaire que Google m'a montré.
Ça dit:
Vérifiez que c'est vous
Cet appareil n'est pas reconnu. Pour votre sécurité, Google veut s'assurer que c'est bien vous.Entrez un numéro de téléphone pour recevoir un SMS avec un code de vérification.
De toute évidence, Google pense que connaître mon mot de passe ne suffit pas pour prouver "c'est moi". Je n'ai pas de téléphone, je n'ai donc associé aucun numéro de téléphone à mon compte Google.
Ce qui m'intrigue, c'est le phrasé. "Entrez un numéro de téléphone" me semble qu'il accepterait tout nombre. Évidemment, comme je n'ai jamais associé de numéro de téléphone, ils n'ont rien à comparer avec le numéro entré dans ce champ. Cela signifie également qu'ils ne peuvent pas m'envoyer de SMS avec un code de vérification.
Je ne comprends pas comment cela améliore la sécurité. Ils supposent déjà que je peux être un attaquant qui a en quelque sorte mis la main sur mon mot de passe, sinon ils me laisseraient simplement me connecter. Mais qu'est-ce qui empêcherait un attaquant d'entrer un numéro de téléphone sous son contrôle afin qu'il puisse recevoir le code de vérification? En supposant qu'un attaquant connaisse mon mot de passe, comment cela l'empêche-t-il d'obtenir un accès non autorisé à mon compte?
Bien qu'il soit étrangement formulé, il est logique du point de vue de Google, car:
Le PSTN (réseau de téléphone) a une trace papier beaucoup plus épaisse que TCP/IP, beaucoup moins de points de terminaison (#s vs IPs), nécessite généralement une inscription de $ + avec un opérateur de télécommunications réglementé par le gouvernement (par rapport au café wifi), et étend la protection juridique d'écoute électronique (au lieu de simplement pirater).
Tout cela sert de découragement social aux attaquants de bas niveau, comme un ex en colère, mais ne protège probablement pas autant des attaques ciblées sophistiquées. Plus d'attaques sont en fait amateur/personnel, donc cette pratique réduit les abus des utilisateurs de Google et les mesures d'application que Google doit prendre. Si cela n'économisait pas l'argent de Google, Google ne s'en préoccuperait pas.
Je soupçonne que le numéro de téléphone doit être celui que Google a déjà associé à votre compte. Si vous entrez un nombre inconnu, rien d'utile ne se produira. La formulation étrange est double; pour gérer le cas où plusieurs numéros sont disponibles, et pour ne pas vous dire quels sont les numéros.