2 votes

Droplet5395 avatar

Quelle est la meilleure pratique pour le téléphone de secours de Google?

Demandé el 24 de Octobre, 2023
Quand la question a-t-elle été
66 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une question concernant la récupération du compte Google via téléphone. La question succincte est la suivante : est-il préférable d'avoir le téléphone de récupération Google configuré avec mon unique appareil Android ou d'utiliser un autre téléphone mobile (non-Google) ?

J'ai un seul téléphone Android 13, qui possède mon numéro de téléphone principal et mon compte de messagerie principal (Google). J'ai configuré un email de récupération vers un autre compte email non-Google non immédiatement accessible sur le téléphone. Je me demande si je devrais utiliser un autre numéro de téléphone comme téléphone de récupération Google.

Si je perds mon téléphone avec le téléphone verrouillé, je ne suis pas trop inquiet car la carte SIM est verrouillée, le code PIN du téléphone est long, les messages n'affichent pas le contenu sur l'écran de notification, et je pense que j'aurai le temps de récupérer.

Si je me fais voler et suis forcé de donner le code PIN du téléphone, alors ils pourraient utiliser mon téléphone pour modifier totalement des choses sur mon compte Google, car c'est mon téléphone de récupération, et Google prompt est la méthode de double authentification par défaut pour le compte Google.

En revanche, Google dit que le téléphone de récupération devrait :

  1. pouvoir recevoir des SMS,
  2. je devrais l'utiliser régulièrement, et
  3. je devrais l'avoir avec moi tout le temps.

Si j'utilise un téléphone de récupération supplémentaire, les points 1 & 2 sont possibles, le 2 au moins sur une base quotidienne, mais le 3 semble compliqué.

Que faites-vous ? Quelle est la meilleure pratique en ce qui concerne le numéro de téléphone de récupération Google ?

Merci.

Demandé el 24 de Octobre, 2023 par Droplet5395

Réponse

Trop de publicités?

0voto

Droplet5395 avatar
Droplet5395 Points 11

Étant donné que personne n'a encore essayé, je pensais que je pourrais le faire, dans l'espoir que cela bénéficierait aux personnes qui posent une question similaire ou connexe, ou que cela stimulerait davantage les discussions.

La réponse courte est oui, vous aurez la meilleure chance de récupérer votre compte Google d'un pirate informatique/voleur de téléphone si vous disposez d'un e-mail de récupération et d'un numéro de téléphone de récupération qui ne sont pas associés (non liés, inaccessibles, etc.) à votre appareil Android volé.

La réponse ci-dessus est basée sur des parties du processus de récupération de Google, des informations que Google a publiées (https://support.google.com/accounts/answer/7299973?hl=fr), et des spéculations. Pourquoi des spéculations? Parce qu'il semble que le processus de récupération soit assez complexe et ne soit pas entièrement documenté, et je n'ai pas testé tous les chemins possibles dans le processus.

Observations sur le processus de récupération de Google / sécurisation de l'appareil à distance :

  1. Le "verrouillage de l'appareil" sur la page de localisation Android verrouille immédiatement l'appareil par NIP lorsque l'appareil répond. Vous pouvez le faire silencieusement en ne fournissant pas de texte ou de numéro de téléphone à la page web, et en désactivant préalablement la notification "Localiser l'appareil" de Google Play. Ou vous pouvez rendre le verrouillage évident en lui donnant un texte et un numéro de téléphone (ce qui permet à la personne avec le téléphone de vous appeler au numéro avec le téléphone).

  2. Le "verrouillage de l'appareil" ne supprime pas immédiatement la demande d'authentification par défaut en 2FA de Google (je n'ai pas testé combien de temps cela prenait), et surtout, il ne supprime pas immédiatement le mot de passe de compte Google forcé sur l'appareil : cela a pris environ 5 minutes une fois l'appareil verrouillé.

  3. Si la personne peut toujours répondre à la demande Google et que le téléphone de récupération est l'appareil lui-même, la personne pourra prendre le contrôle de votre compte Google, mais vous aurez besoin des deux facteurs pour cela.

  4. Si la personne a votre NIP, elle a également votre mot de passe Google, et elle pourra prendre le contrôle de votre compte Google sans autres facteurs que d'avoir votre téléphone.

  5. Ainsi, même si vous avez "sécurisé" votre appareil, il y a une fenêtre (dans mon cas, 5 minutes) pendant laquelle la personne pourra faire une capture d'écran, modifier assez vos informations de compte (changer de mot de passe, retirer/ajouter des mots de passe, retirer/changer l'authentificateur TOTP) pour a) vous empêcher sérieusement de récupérer votre compte b) [spéculation] ils pourraient être en mesure de récupérer le compte avec le téléphone de récupération et les informations associées à votre compte qu'ils ont téléchargées ou modifiées, même après que vous ayez "récupéré" votre compte.

  6. Sur tous les processus de récupération que j'ai essayés, Google a toujours demandé 2 informations différentes, jamais une seule. Les informations que j'ai été invité à fournir étaient le code envoyé au téléphone de récupération, le code envoyé à l'e-mail Google, le code envoyé à l'e-mail de récupération, le code authentificateur TOTP, et le code de récupération 2FA.

  7. Les informations les plus sûres que la personne ne peut pas changer associées à vos comptes Google sont a) le téléphone de récupération b) l'e-mail de récupération et c) vos anciens mots de passe. Le téléphone et l'e-mail de récupération sont affichés sur le compte et peuvent être modifiés, mais Google "promet" qu'après les changements, les anciens pourront être utilisés pendant une semaine. Les anciens mots de passe ne sont pas affichés.

  8. Google recommande d'avoir votre téléphone de récupération, votre e-mail de récupération et vos codes de sauvegarde 2FA pour pouvoir récupérer votre compte, même si l'interface utilisateur ne vous oblige pas à ce que votre numéro de téléphone ne soit pas le même que votre téléphone Google principal/unique. Permet-il le même e-mail Google et l'e-mail de récupération ? Je ne sais pas car je n'ai pas testé, et le mien a toujours été différent.

  9. Vos codes de récupération de sauvegarde 2FA peuvent être régénérés. Il n'est pas clair si les anciens fonctionneraient toujours. Il n'est pas logique qu'ils le fassent, mais qui sait.

  10. Rappelez-vous que s'ils ont votre NIP et votre téléphone, ils ont virtuellement des biométries pour prouver aux différentes applications sur votre téléphone. À moins que vous n'utilisiez une authentification basée sur le NIP/mot de passe pour verrouiller votre authentificateur TOTP, ils pourraient également avoir accès à vos codes/secrets TOTP.

Par conséquent, vous devriez avoir un numéro de téléphone de récupération et un e-mail de récupération qui ne peuvent pas être accessibles sur votre appareil Android Google. Si vous ne les utilisez que pour la récupération et que leur accès n'est pas volé avec votre téléphone et votre NIP, vous aurez toujours 2 facteurs pour prouver définitivement à Google que c'est vous.

Si quelqu'un vole votre téléphone avec votre NIP, vous voulez l'effacer à distance, désactiver/récupérer le numéro de téléphone principal au besoin, et vérifier/réinitialiser la sécurité de votre compte (mot de passe, 2FA, mots de passe, paramètres d'e-mail, accès aux applications, etc.) Même, vous voudrez peut-être le faire avant de signaler à l'autorité.

Quant aux recommandations de Google selon lesquelles :

  1. le téléphone doit être utilisé régulièrement
  2. le téléphone doit être avec vous
  3. le téléphone doit vous appartenir exclusivement

Vous voulez une utilisation régulière pour vous assurer qu'il fonctionne toujours. Le téléphone doit être avec vous parce que vous n'avez qu'une semaine pour récupérer votre compte avec le téléphone si le pirate modifie votre numéro de récupération. Le téléphone doit vous appartenir exclusivement pour des raisons de sécurité et parce que Google envoie probablement des notifications de mise à jour de compte dessus, donc cela serait ennuyeux pour quelqu'un d'autre.

Avoir vos mots de passe protégés par les deux facteurs (avoir le téléphone et connaître le NIP) me semble mauvais. Je ne laisserais pas les mots de passe Google sur mon téléphone si j'avais le choix. Ce problème sera le même pour d'autres mots de passe que vous laissez protéger par la plateforme Android.

Répondu el 25 de Octobre, 2023 par Droplet5395 (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X