Evolution ja viesti "Ratkaise 2 Google-tililtäsi löytynyttä tietoturvaongelmaa"

[intikka]

Osoitteesta no-reply@accounts.google.com tuli yllä mainitulla otsikolla viesti, jossa kehotettiin tekemään "pari minuuttua kestävä tarkistus", joka kertoisi, miten tilin tietoturvaa voi parantaa entisestään. Viesti ei kertonut, mitä tarkistus pitää sisällään.

Miten viestiin pitäisi suhtautua? Kannattaako tarkistaa? Saako mistään tietää, mitä tarkistus tarkoittaa?

[AimoE]

Viestin lukeminen ei aiheuta sinulle mitään haittaa, ja jos siiinä on jotain epäselvää, voit postata siitä osia tänne (sensuroituna, jos siinä on jotain henkilökohtaista). Veikkaan kuitenkin että kyse on lähinnä kaksivaiheisen tunnistuksen (OAuth) markkinoinnista. Sillä voi helpottaa kirjautumisia, mutta vaikka sitä markkinoidaan turvalisuudella, helppous saattaa ethdä siitä petollisen. Etsi netistä lisää tietoa hakusanalla OAuth, löydät paljon.

[AimoE]

Kappas, olinhan minäkin tuon viestin saanut jo jokin aika sitten, eikä viestissä itsessään ole mitään tänne kopioitavaa. Se vain kehottaa ajamaan jonkin tarkistuksen, joka arvattavasti vaatii kirjautumisen tilille seliaimella. En ole viitsinyt käydä katsomassa, koska olen jo käynyt asetukseni kammalla läpi. Edelleenkin vahvasti veikkaan että kyse on vain siitä että olen profiilissani sallinut "vähemmän turvalliset sovellukset", mikä on Googlen tapa ilmoittaa että minun pitäisi käyttää OAuth-kättelyä.

Katso http://kb.mozillazine.org/Using_Gmail_with_Thunderbird_and_Mozilla_Suite -- se pätee suurelta osin myös Evolutioniin.

[Hajakenttä]

Kaikille lienee tullut sama tietoturvan tarkistuskysely Googlen tiliin liittyen. Huomasin tarkistusta tehdessäni, että vähemmän turvallisen sovelluksen estäminen estää myös Ubuntun sovellusvarastosta asennetun mail-notification sovelluksen toimimasta Gmail tilin yhteydessä. Tarkistuksen ilmoittama "yksi kolmas osapuoli, joka käyttää tilin käyttö oikeuksia" on siis tuo mail-notification, koska sillä on salasana asetuksissaan, jota ilman se ei tietenkään voi toimia. Annoin siis olla tuon vähemmän turvallisten sovellusten käytön.

Paljon vakavampi tapaus sattui tänään Gmail tililleni. Tuli ilmoitus lottovoitosta afrikkalaiselta toimijalta sähköpostilla. Ei siinä mitään kummallista muuten olisi, mutta se tuli omana ilmoituksena omalta Google-kalenteriltani ajastettuna. Tarkistin myös kalenterin ja siellä oli tosiaan tälle päivälle tehty täsmälleen samansisältöinen posti ja sen ilmoitusajastus. Minä en tosiaankaan ole sitä tehnyt. Vaihdoin tietysti heti salasanan, joka ennestäänkin oli 16 merkkinen satunnaismerkkijono, KeePassX sovelluksen generoima. Kirjoitin myös Googlelle siitä tarkan raportin ja kysyin heiltä: onko käyttämäni Linux Ubuntun paketeista asennetulla mail-notification sovelluksella heidän toimestaan havaittu tietoturvaongelmia? Sen vastaus varmaan viipyy tovin.

EDIT: Kirjoitusvirheitä korjattu.

PS. Muidenkin ehkä kannattaa katsoa Googlen kalenteriansa: onko sinne ilmaantunut toisten tekemiä tapahtumia?

[AimoE]

Tässä jonkinlainen yhteenveto tästä OAuth-aiheesta:

Kaksi­vaiheisessa OAuth2-kirjautumisessa tarvitaan tilin sala­sanan lisäksi jokin erillinen vahvistus siitä että kirjautumista yrittävä käyttäjä todella on tilin omistaja. Sovelluksen (kuten Thunderbird) ja palvelun (kuten sähkö­posti­palvelimen) lisäksi kirjautumisessa on mukana valtuutus­palvelu, joka pitää kirjaa käyttäjien, palveluiden ja sovellusten suhteista ja pyytää käyttäjältä lisä­vahvistuksen, esimerkiksi puhelimen avulla. Jotta tämä toimisi, sekä sovelluksen että palvelun täytyy tukea OAuth2-menettelyä. Kun tilin omistaja myöntää sovellukselle pääsyn tilillä oleviin tietoihin ensimmäisen kirjautumisen yhteydessä, OAuth2-kirjautumiseen ei sen jälkeen enää tarvita sala­sanaa lisä­vahvistuksen rinnalla (paitsi jos sala­sana on ainoa keino kirjautua palveluun).

• Koska sala­sanaa ei kysytä, käyttäjästä saattaa näyttää siltä kuin sala­sanat olisi talletettu johonkin sala­sana­varastoon, mutta valtuutus­palvelu ei näe sala­sanoja, vaan OAuth2-menettelyä tukevat sovellukset ja palvelut käyttävät ja välittävät toisilleen valtuutuksia sala­sanojen sijaan.

Jos käyttäjä lisäksi merkitsee omia laitteitaan luotetuiksi, ei lisä­vahvistustakaan (aina) kysytä. Vaikka kirjautumisen periaate on kaksi­vaiheinen, käyttäjä siis näkee vain yhden vaiheen, jos sitäkään. Näin OAuth2-menettely tekee kirjautumisen teknisesti moni­mutkaisemmaksi, mutta käyttäjän kannalta yksin­kertaisemmaksi. Yksin­kertaisuus voi kuitenkin olla petollista silloin kun luotetuksi merkity laite on tavalla tai toisella vaarantunut. Esi­merkiksi puhelimen sormen­jälki­tunnistusta on helppo huijata. Lisäksi, kun sala­sanaa ei tarvitse kirjoittaa jatkuvasti uudelleen, se pääsee helposti unohtumaan.

• Älä luota siihen että unohtuneen sala­sanan voi vaihtaa jokaisessa palvelussa.
• Talleta sala­sanat salattuun sala­sanavarastoon (kuten KeePass) ja
• säilytä varaston varmuus­kopioita maan­tieteellisesti erillisissä paikoissa (USB-tikku, puhelin ja tieto­koneen kova­levy ei riitä jos ne ovat kaikki samassa osoitteessa, kuten kodissa, vaan lisäksi tarvitaan talletus­tilaa esimerkiksi pilvi­palvelussa).

OAuth2-menettely muistuttaa vahvaa tunnistusta, mutta ei vaadi henkilöllisyyden todennusta. Google elää mainostajilta saamillaan tuloilla, ja valtuutus­palveluun kertyvä tieto käyttäjien, palveluiden, sovellusten ja laitteiden suhteista on hyvin arvokasta. Valtuutus­tietojen joutuminen varkaiden käsiin olisi käyttäjille vaarallista.

[Hajakenttä]

Edelleenkin vahvasti veikkaan että kyse on vain siitä että olen profiilissani sallinut "vähemmän turvalliset sovellukset", mikä on Googlen tapa ilmoittaa että minun pitäisi käyttää OAuth-kättelyä.

Tuollaista OAuth tarjousta/kehoitusta en ole Googlelta saanut. Vähemmän turvallisille sovelluksille on ihan oma vipu. Vähän se on piilossa. Löytyy: >asetukset >Tilit ja tuonti >muut google-tilin asetukset >kirjautuminen ja tietosuoja asetukset sarakkeesta sovellukset, joilla on tilin käyttöoikeus >Laatikko melkein lopussa, jossa vipu "salli vähemmän turvalliset sovellukset käytössä/ei käytössä".

Samalla sivulla on myös kaksivaiheisen tunnistuksen valinta, joka lienee tuo po. OAuth, ja mm. sovellukset, jotka voivat käyttää tiliäsi sekä paljon muutakin hyödyllistä.

[AimoE]

Tuollaista OAuth tarjousta/kehoitusta en ole Googlelta saanut. Vähemmän turvallisille sovelluksille on ihan oma vipu.

Googpe ei esitä asiaa niin selvästi että sen ymmärtäisi. Kun katsot sivua johon laitoin linkin, katso erityisesti kohdat "Less Secure Apps" ja "Two step verification", Siellä on joitakin asioita sanottu hieman sekavasti, kun ensin sanotaan "Google is trying to push email clients to either use two factor authentication or OAuth2" ja sitten sanotaan "If you configure two step verification you need to either use OAuth2 to authenticate or create an application specific password for Thunderbird that you use instead of the normal password." eli Google patistaa käyttämään 2-vaiheista joko sellaisenaan tai OAuth:n kanssa yhdessä. Mutta joka tapauksessa se tapa miten Google patistaa käyttäjiä on käyttäjän kannalta hyvin kimurantisti muotoiltu. Lue tarkemmin tuosta "Less Secure Apps" -kohdasta sivulla http://kb.mozillazine.org/Using_Gmail_with_Thunderbird_and_Mozilla_Suite kuinka kimurantisti.

[intikka]

Olenko ymmärtänyt oikein, jos sanon, että viestiin ei tarvitse reagoida mitenkään?

[AimoE]

Ei tarvitse reagoida. Tosin siitä ei ole mitään haittaa jos kirjaudut tilillesi selaimess ja ja katsot mitä "turvatarkastus" ilmoittaa, voihan siellä olla jotain mielenkiintoistakin. Todennäköisesti ei ole. Itse lopulta eilen menin sinne katsomaan ja siellä oli ihan turhia varoituksia, sellaisia jotka ei liity mihinkään eikä kehota mihinkään, kunhan vaan luo uhkaavaa ilmapiiriä. Ihme pelottelua.

[raimo]

Minulla oli jäänyt tekstieditorille luvat muokata tekstejä, kun joskus editoin jotain vähäpätöistä juttua suoraan pilvessä.
Että minun kohdalla ainakin oli ihan hyvä muistutus.

[intikka]

Kiitän kaikkia vastanneita.

[LMJ2368]

Hiukan huvittavaa on, että minulla Google suosittaa poistamaan itse Ubuntun. Vähempiriskisistä kohteista poistin Gnome Evolutionin, koska tuo Evolution oli asennettuna vain vähän aikaa - seuraus oli että Ubuntun kalenteri lakkasi toimimasta ja jouduin kirjautumaan tilille uudestaan. (Tuo gdfuse taasen antaa Ubuntulle ja ohjelmille Driveen samanlaiset oikeudet, mitä niillä on koneen omalle kiintolevylle tai jollekin muistitikulle - jopa ohjelmien ajaminen ja elokuvien katselu onnistuu.)