Comment la saisie d'un "numéro de téléphone" aide-t-elle Google à "vérifier qu'il s'agit bien de moi?"
Aujourd'hui, j'ai essayé de me connecter à mon compte Google pendant mes études universitaires. Google a bloqué la tentative et a demandé un numéro de téléphone. Voici une capture d'écran du formulaire que Google m'a montré.
Ça dit:
Vérifiez que c'est vous
Cet appareil n'est pas reconnu. Pour votre sécurité, Google veut s'assurer que c'est bien vous.Entrez un numéro de téléphone pour recevoir un SMS avec un code de vérification.
De toute évidence, Google pense que connaître mon mot de passe ne suffit pas pour prouver "c'est moi". Je n'ai pas de téléphone, je n'ai donc associé aucun numéro de téléphone à mon compte Google.
Ce qui m'intrigue, c'est le phrasé. "Entrez un numéro de téléphone" me semble qu'il accepterait tout nombre. Évidemment, comme je n'ai jamais associé de numéro de téléphone, ils n'ont rien à comparer avec le numéro entré dans ce champ. Cela signifie également qu'ils ne peuvent pas m'envoyer de SMS avec un code de vérification.
Je ne comprends pas comment cela améliore la sécurité. Ils supposent déjà que je peux être un attaquant qui a en quelque sorte mis la main sur mon mot de passe, sinon ils me laisseraient simplement me connecter. Mais qu'est-ce qui empêcherait un attaquant d'entrer un numéro de téléphone sous son contrôle afin qu'il puisse recevoir le code de vérification? En supposant qu'un attaquant connaisse mon mot de passe, comment cela l'empêche-t-il d'obtenir un accès non autorisé à mon compte?
Bien qu'il soit étrangement formulé, il est logique du point de vue de Google, car:
- Si les informations d'identification de votre compte sont compromises, un attaquant serait moins disposé à continuer à ce stade, à moins qu'il ne souhaite utiliser un numéro jetable à chaque fois qu'il pirate le compte de quelqu'un. (Ce qui n'est probablement pas rentable.) Ils ne peuvent certainement pas utiliser leur numéro de téléphone réel car les forces de l'ordre pourraient potentiellement les retrouver. Cela pourrait essentiellement fonctionner pour "vérifier que c'est vous".
- Il permet à Google de commencer à utiliser 2FA avec vous à l'avenir. Mais comme forcer 2FA peut être mal vu, ils ont peut-être décidé de ne le forcer que si vous vous connectez à partir d'un appareil inconnu.
- Cela réduit le nombre de nouvelles adresses e-mail créées à des fins de spam. Il est plus difficile d'obtenir des numéros de téléphone fonctionnels que d'obtenir des adresses e-mail.Par conséquent, en forçant un utilisateur à associer un numéro de téléphone professionnel auquel il a personnellement accès à son compte, cela réduit le nombre d'adresses e-mail de spam nouvellement créées. Je suppose que si vous essayez d'associer trop de comptes de messagerie avec le même numéro, vous serez fermé.
Le PSTN (réseau de téléphone) a une trace papier beaucoup plus épaisse que TCP/IP, beaucoup moins de points de terminaison (#s vs IPs), nécessite généralement une inscription de $ + avec un opérateur de télécommunications réglementé par le gouvernement (par rapport au café wifi), et étend la protection juridique d'écoute électronique (au lieu de simplement pirater).
Tout cela sert de découragement social aux attaquants de bas niveau, comme un ex en colère, mais ne protège probablement pas autant des attaques ciblées sophistiquées. Plus d'attaques sont en fait amateur/personnel, donc cette pratique réduit les abus des utilisateurs de Google et les mesures d'application que Google doit prendre. Si cela n'économisait pas l'argent de Google, Google ne s'en préoccuperait pas.
Je soupçonne que le numéro de téléphone doit être celui que Google a déjà associé à votre compte. Si vous entrez un nombre inconnu, rien d'utile ne se produira. La formulation étrange est double; pour gérer le cas où plusieurs numéros sont disponibles, et pour ne pas vous dire quels sont les numéros.