V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
v2tudnew
V2EX  ›  Google

账户验证详细过程

  •  
  •   v2tudnew · 2022-07-11 09:57:18 +08:00 · 2836 次点击
    这是一个创建于 847 天前的主题,其中的信息可能已经有所发展或是发生改变。

    /t/865306 没人能看懂?确实我包含愤怒情绪可能没说清楚,现在我详细讲讲验证过程,还不明白你们也该自己反思了。

    首先,我有三台设备,IOS (长期开机),android (已经关机半月)、Windows chrome (经常用,半年没注销过了),登录了谷歌账户。

    昨天我想查看某一天的历史记录,chrome 那个你们懂的,一直无限下滑,当时没考虑用扩展,因为不知道哪些安全。 我登录谷歌账户的活动记录( https://myactivity.google.com/ ),提示要安全验证,首先输入密码,弹出需要 2FA ,"谷歌提示"那个它指定要安卓机点是,我不想开机,选择“谷歌身份验证器”也就是 TOTP 验证,验证通过,再次弹出“谷歌提示”要安卓机验证,此时没有其他验证手段了。

    问题是:我的 IOS 也登陆了账户,却不能选择,而且 TOTP 不能作为验证,那还有什么用处?

    第 1 条附言  ·  2022-07-11 11:02:01 +08:00
    在我看来,用户 2FA 终究是为了只是为了验证是不是有许可,而不是什么强实名认证,用户有权将账户给朋友亲人使用(如果想学腾讯当我没说)。
    用户也应当有权使用任何谷歌允许验证的方式进行 2FA ,而不是谷歌来决定你必须用什么 2FA 。用户应当为自己保管不利负责。
    如果谷歌不信任某种验证方式,那就下架。
    第 2 条附言  ·  2022-07-11 14:26:37 +08:00
    回头看了下原帖,说的也挺正常,就是提醒看清文章,就一堆觉得自己被怼了??这么玻璃心?
    我看错了,被说两句,就是被叼我都不会咋样,确实眼花。
    这就阴阳怪气了,我甚至开始怀疑是不是因为说了谷歌的不是,确实也骂了谷歌一顿。
    14 条回复    2022-07-11 13:55:21 +08:00
    totoro625
        1
    totoro625  
       2022-07-11 10:25:57 +08:00
    选择:管理“我的活动记录”验证模式
    设置:不需要额外验证
    验证方式把智能手机的级别放在第一位,是认为正常人都是用手机安装 App 作为两步验证的方式,这个时候不如打开 App 点是方便
    但是把 ios 级别放在最后确实难受,我有时候开虚拟机登录之后,总是让我用那个虚拟设备点是
    可以在 https://myaccount.google.com/device-activity 中退出不需要的设备
    nothingistrue
        2
    nothingistrue  
       2022-07-11 10:38:09 +08:00
    自己没说清楚,怨不得别人。连“活动记录”这种敏感数据需要重新登录认证都不懂,也别摆高姿态。

    首先,账户活动记录属于敏感数据,访问的时候必须临时性的重新登录。
    其次,android 手机的 GMS 的谷歌账号验证,是强实名验证,自然要比 IOS 上单纯的 TOTP 验证更具安全性,首选 andorid 手机验证无可厚非。
    再次,在你选择“谷歌身份验证器”并验证通过,仍然被要求使用 Andorid 验证的时候,那就说明,谷歌已经不信任你在 IOS 上的“谷歌身份验证器”了。
    最后,不信任一个东西的时候,最好的处理是默默不动,而不是去通知它不信任了,所以你 IOS 上的“谷歌身份验证器”不会收到任何反馈,只是不会再起作用了。


    “谷歌身份验证器”并验证通过,仍然被要求使用 Andorid 验证,还有另一种可能,谷歌就是想要做一下强实名认证。但是没有手段来测试确定是这种可能。退出 andorid 后 IOS 又能用了不能说明是这种可能,因为你退出 android 的前提是要先登录 android 环境,这时候你即做了强实名认证,又给 IOS 上的身份验证器加了信任保证,不能确定是哪种导致 IOS 又能用了。
    nothingistrue
        3
    nothingistrue  
       2022-07-11 10:41:26 +08:00
    提示一下:android 谷歌账号,是跟 SIM 卡都绑定的超强实名,不要绑定,除非你是真想实名。身份验证器,要用还得用微软的,那个至少目前跟微软自身的业务还没有关联。
    v2tudnew
        4
    v2tudnew  
    OP
       2022-07-11 10:47:50 +08:00
    @totoro625 昨天我退出了,太难受了,”不需要额外验证“风险还是高了点。


    @nothingistrue 我哪句话里面说了 IOS 是只是 TOTP 验证?”首先,我有三台设备,IOS (长期开机),android (已经关机半月)、Windows chrome (经常用,半年没注销过了),登录了谷歌账户。“

    ”因为你退出 android 的前提是要先登录 android 环境“ 我也没说安卓开机验证才退出的啊,这算不算漏洞?可以用 TOTP 退出设备却不能用 TOTP 验证。


    另外你要想讨论我可以解释,你要只是不服气想为了喷而喷请走开。
    nothingistrue
        5
    nothingistrue  
       2022-07-11 11:11:41 +08:00   ❤️ 3
    真是瞎了我的狗眼,匿了
    indexdotphp
        6
    indexdotphp  
       2022-07-11 13:12:23 +08:00
    https://myaccount.google.com/security
    [使用您的手机登录] 和 [二步验证] 是两个功能
    前者可以在线同时推送多台手机
    后者只能绑定一个手机且可以离线运行(通过 ble ),且打开这个功能会关闭 [使用您的手机登录]
    所以会造成你用不了第二台手机认证
    v2tudnew
        7
    v2tudnew  
    OP
       2022-07-11 13:26:58 +08:00
    @indexdotphp https://support.google.com/accounts/answer/6361026
    按这个提示,在 安全性→登录 Google 下方并没有 [ 使用您的手机登录]这个功能,只有密码、两步验证和应用专用密码。
    两步验证里面有[Google 提示 (默认)]这个功能,之前没注意,现在下面变成 iPhone 了,如果按你的说法,这个功能不应该存在 /开启才对。
    而且也不应该存在提示安卓不提示 IOS 的情况。
    v2tudnew
        8
    v2tudnew  
    OP
       2022-07-11 13:28:53 +08:00
    ”如果您的手机不在身边,您可以在登录屏幕上选择使用密码或其他选项。“
    问题是,我使用了 TOTP 却还让我验证谷歌提示。
    indexdotphp
        9
    indexdotphp  
       2022-07-11 13:34:05 +08:00
    @v2tudnew
    二步验证里面也分为两个,一个是你说的 Google 提示 一个是 您的安全密钥
    前者是可以同时存在多歌设备,后者只能一个
    Google 提示和 使用您的手机登录的区别就是一个是免去输入密码的功能和一个是二步验证的功能
    关于这个功能的文档在
    https://support.google.com/accounts/answer/7026266
    如果你使用 Google 提示,那么实际上可以在所有设备上收到通知,如果你用的是 您的安全密钥 那么只能用一台手机认证
    indexdotphp
        10
    indexdotphp  
       2022-07-11 13:35:11 +08:00
    至于你说的多重认证的问题,个人觉得单纯只是碰到了一些奇怪的风控模型
    learningman
        11
    learningman  
       2022-07-11 13:37:56 +08:00 via Android
    你提了个问题,别人回答了,然后现在要别人反思。
    回答你真的是欠了你
    ruixue
        12
    ruixue  
       2022-07-11 13:45:47 +08:00
    @learningman /t/865306
    上一个帖子前排热心回复的 V 友都被他怼了。真可谓帮忙有风险,回复需谨慎
    v2tudnew
        13
    v2tudnew  
    OP
       2022-07-11 13:49:42 +08:00
    @learningman ”一堆里面随便哪个过了都行啊,短信啥的都行“

    ”都看清除咯,第一次验证就让 TOTP ,短信验证没有,因为我压根就不可能丢失 TOTP ,也不想短信被劫持引起问题。
    你们能想到的我都弄了,就差忘记密码重置了。不过现在也没法给你们截图,我退了安卓账户了。“

    ”你提了个问题,别人回答了,然后现在要别人反思。
    回答你真的是欠了你“

    这帽子扣的漂亮,下次我也瞎答,谁敢说! 我算是明白”百度知道“文不对题都是谁在回答了。
    v2tudnew
        14
    v2tudnew  
    OP
       2022-07-11 13:55:21 +08:00
    @indexdotphp 没有使添加 TOTP 之外的 2FA (谷歌验证强制自带),这个风控模型也许哪天会让我自己都无法使用”找回密码“了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1221 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 18:00 · PVG 02:00 · LAX 10:00 · JFK 13:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.