/t/865306 没人能看懂?确实我包含愤怒情绪可能没说清楚,现在我详细讲讲验证过程,还不明白你们也该自己反思了。
首先,我有三台设备,IOS (长期开机),android (已经关机半月)、Windows chrome (经常用,半年没注销过了),登录了谷歌账户。
昨天我想查看某一天的历史记录,chrome 那个你们懂的,一直无限下滑,当时没考虑用扩展,因为不知道哪些安全。 我登录谷歌账户的活动记录( https://myactivity.google.com/ ),提示要安全验证,首先输入密码,弹出需要 2FA ,"谷歌提示"那个它指定要安卓机点是,我不想开机,选择“谷歌身份验证器”也就是 TOTP 验证,验证通过,再次弹出“谷歌提示”要安卓机验证,此时没有其他验证手段了。
问题是:我的 IOS 也登陆了账户,却不能选择,而且 TOTP 不能作为验证,那还有什么用处?
1
totoro625 2022-07-11 10:25:57 +08:00
选择:管理“我的活动记录”验证模式
设置:不需要额外验证 验证方式把智能手机的级别放在第一位,是认为正常人都是用手机安装 App 作为两步验证的方式,这个时候不如打开 App 点是方便 但是把 ios 级别放在最后确实难受,我有时候开虚拟机登录之后,总是让我用那个虚拟设备点是 可以在 https://myaccount.google.com/device-activity 中退出不需要的设备 |
2
nothingistrue 2022-07-11 10:38:09 +08:00
自己没说清楚,怨不得别人。连“活动记录”这种敏感数据需要重新登录认证都不懂,也别摆高姿态。
首先,账户活动记录属于敏感数据,访问的时候必须临时性的重新登录。 其次,android 手机的 GMS 的谷歌账号验证,是强实名验证,自然要比 IOS 上单纯的 TOTP 验证更具安全性,首选 andorid 手机验证无可厚非。 再次,在你选择“谷歌身份验证器”并验证通过,仍然被要求使用 Andorid 验证的时候,那就说明,谷歌已经不信任你在 IOS 上的“谷歌身份验证器”了。 最后,不信任一个东西的时候,最好的处理是默默不动,而不是去通知它不信任了,所以你 IOS 上的“谷歌身份验证器”不会收到任何反馈,只是不会再起作用了。 “谷歌身份验证器”并验证通过,仍然被要求使用 Andorid 验证,还有另一种可能,谷歌就是想要做一下强实名认证。但是没有手段来测试确定是这种可能。退出 andorid 后 IOS 又能用了不能说明是这种可能,因为你退出 android 的前提是要先登录 android 环境,这时候你即做了强实名认证,又给 IOS 上的身份验证器加了信任保证,不能确定是哪种导致 IOS 又能用了。 |
3
nothingistrue 2022-07-11 10:41:26 +08:00
提示一下:android 谷歌账号,是跟 SIM 卡都绑定的超强实名,不要绑定,除非你是真想实名。身份验证器,要用还得用微软的,那个至少目前跟微软自身的业务还没有关联。
|
4
v2tudnew OP @totoro625 昨天我退出了,太难受了,”不需要额外验证“风险还是高了点。
@nothingistrue 我哪句话里面说了 IOS 是只是 TOTP 验证?”首先,我有三台设备,IOS (长期开机),android (已经关机半月)、Windows chrome (经常用,半年没注销过了),登录了谷歌账户。“ ”因为你退出 android 的前提是要先登录 android 环境“ 我也没说安卓开机验证才退出的啊,这算不算漏洞?可以用 TOTP 退出设备却不能用 TOTP 验证。 另外你要想讨论我可以解释,你要只是不服气想为了喷而喷请走开。 |
5
nothingistrue 2022-07-11 11:11:41 +08:00 3
真是瞎了我的狗眼,匿了
|
6
indexdotphp 2022-07-11 13:12:23 +08:00
https://myaccount.google.com/security
[使用您的手机登录] 和 [二步验证] 是两个功能 前者可以在线同时推送多台手机 后者只能绑定一个手机且可以离线运行(通过 ble ),且打开这个功能会关闭 [使用您的手机登录] 所以会造成你用不了第二台手机认证 |
7
v2tudnew OP @indexdotphp https://support.google.com/accounts/answer/6361026
按这个提示,在 安全性→登录 Google 下方并没有 [ 使用您的手机登录]这个功能,只有密码、两步验证和应用专用密码。 两步验证里面有[Google 提示 (默认)]这个功能,之前没注意,现在下面变成 iPhone 了,如果按你的说法,这个功能不应该存在 /开启才对。 而且也不应该存在提示安卓不提示 IOS 的情况。 |
8
v2tudnew OP ”如果您的手机不在身边,您可以在登录屏幕上选择使用密码或其他选项。“
问题是,我使用了 TOTP 却还让我验证谷歌提示。 |
9
indexdotphp 2022-07-11 13:34:05 +08:00
@v2tudnew
二步验证里面也分为两个,一个是你说的 Google 提示 一个是 您的安全密钥 前者是可以同时存在多歌设备,后者只能一个 Google 提示和 使用您的手机登录的区别就是一个是免去输入密码的功能和一个是二步验证的功能 关于这个功能的文档在 https://support.google.com/accounts/answer/7026266 如果你使用 Google 提示,那么实际上可以在所有设备上收到通知,如果你用的是 您的安全密钥 那么只能用一台手机认证 |
10
indexdotphp 2022-07-11 13:35:11 +08:00
至于你说的多重认证的问题,个人觉得单纯只是碰到了一些奇怪的风控模型
|
11
learningman 2022-07-11 13:37:56 +08:00 via Android
你提了个问题,别人回答了,然后现在要别人反思。
回答你真的是欠了你 |
12
ruixue 2022-07-11 13:45:47 +08:00
|
13
v2tudnew OP @learningman ”一堆里面随便哪个过了都行啊,短信啥的都行“
”都看清除咯,第一次验证就让 TOTP ,短信验证没有,因为我压根就不可能丢失 TOTP ,也不想短信被劫持引起问题。 你们能想到的我都弄了,就差忘记密码重置了。不过现在也没法给你们截图,我退了安卓账户了。“ ”你提了个问题,别人回答了,然后现在要别人反思。 回答你真的是欠了你“ 这帽子扣的漂亮,下次我也瞎答,谁敢说! 我算是明白”百度知道“文不对题都是谁在回答了。 |
14
v2tudnew OP @indexdotphp 没有使添加 TOTP 之外的 2FA (谷歌验证强制自带),这个风控模型也许哪天会让我自己都无法使用”找回密码“了。
|