Stevo86 schrieb:
Wenn deine kuriose Gesichte stimmt hättest du auch einfach den Accinhaber nach dem PW fragen können, aber vermutlich hast du ihn einfach übernommen aus irgendeneinem Grund.
Bitte nicht persönlich nehmen, aber der ging gewaltig nach hinten los!
B2T: Egal, wie "logisch" das Szenario für Euch ist, wenn die 2FA auf die Nummern/Adressen nicht reagiert: Google darf nicht über den Kopf des Benutzers hinweg entscheiden!
Wenn man das Ganze jetzt mal auf die Spitze treibt, dann würde das ja Folgendes bedeuten:
Jemand phisht meine Zugangsdaten - wie, warum jetzt auch immer - und ich habe einen Unfall, liege monatelang im Koma. Also ist nach Googles Logik dann mein Account "verwaist" und der Angreifer muss nur lange genug warten um meine vermeintlich ungültigen 2FA Kontaktdaten zu ändern? Genau
davor soll die 2FA doch schützen, dass ein Passwort alleine eben nicht ausreicht, egal wie lange irgendwas "unbenutzt" ist.
Natürlich geht's jetzt weiter: aber dann ist das Smartphone doch an, Google bekommt SMS Empfangsbenachrichtigungen, die E-Mail Adresse existiert, es kommt kein Error vom mailer daemon zurück etc. Es geht mir auch nicht um die "real life Wahrscheinlichkeit", sondern nüchtern um den Faktor,
dass es diesen Angriffsvektor gibt und alleine das ist meiner Meinung nach vollkommen inakzeptabel.
@DrThodt 2FA ist per se nicht unnötig oder schlecht. Nur wenn Google das wirklich so gelöst hat, dann würde ich denen definitiv schreiben. Ohne Zugriff auf die 2FA bzw. deren Backup Codes sind Accounts normalerweise mausetot und für immer verloren. Ich spreche da aus leidlicher Erfahrung
