Google 2 step android

Двухэтапная аутентификация

Ещё более безопасный аккаунт!

Защитите свой аккаунт от взлома с помощью мобильного телефона.

Зачем это нужно

Как взломщики крадут пароли

Как взломщики крадут пароли

Ваш пароль попадает в зону риска, если вы узнаете себя хотя бы в одном из следующих утверждений:

• Я использую один и тот же пароль на разных сайтах.
• Я загружаю программы из Интернета.
• Я нажимаю на ссылки в сообщениях электронной почты.

Однако беспокоиться рано. В любом из этих случаев вас защитит двухэтапная аутентификация. С ней не справится ни один мошенник!

Чем грозит кража пароля

Если злоумышленник получит ваш пароль, он может вам изрядно насолить:

• Прочесть ваши сообщения в электронной почте и просмотреть личные фотографии. Или даже удалить их.
• Разослать от вашего имени оскорбительные письма, вирусы или спам.
• Изменить пароли от других аккаунтов, которыми вы пользуетесь (например, в интернет-магазинах или онлайн-банках).

Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!

Как входить в аккаунт

Как изменится процедура входа в аккаунт

Как изменится процедура входа в аккаунт

Ввод пароля

Это действие вам уже знакомо. Вы вводите пароль каждый раз, когда входите в аккаунт Google.

Ввод кода подтверждения

Теперь вам нужно ввести специальный код. Вы можете получить его по SMS, с помощью голосового вызова или приложения, установленного на телефоне. Код не понадобится, если у вас есть токен – просто вставьте его в USB-порт компьютера.

Двухэтапная аутентификация – это просто

При входе в аккаунт вы можете установить флажок «Запомнить код на этом компьютере «, после чего система перестанет запрашивать код.

Однако ваши данные по-прежнему будут под защитой. При попытке входа в аккаунт с другого компьютера система потребует ввести код или вставить токен авторизации.

Источник

Аутентификация OAuth2 в приложении посредством Google Sign-In. Непрерывный доступ к API Google

«С 20 апреля 2017 года отправка запросов на авторизацию из встроенных браузеров будет блокироваться».

Такое сообщение с 1 марта можно увидеть в некоторых приложениях, где необходима авторизация. Об этом Google написали в своём блоге еще в августе 2016, и это значит, что скоро во многих приложениях придется переписывать реализацию регистрации. Приятного мало, однако выход есть – использовать рекомендуемый способ авторизации Google Sign-in.

Об этом способе и будет идти речь в уроке, а также как получить токены, необходимые для работы с API Google.

В уроке будет присутствовать частичный перевод официальных документаций. Но сперва немного предыстории из моей практики и первой работы с OAuth2, возможно кто-то окажется в похожей ситуации.

Понадобилось мне для приложения получить чат с прямой трансляции YouTube. И тогда я узнала, что для отправки запросов на получение трансляции (и только потом чата) необходимо провести OAuth2 аутентификацию пользователя. Я начала искать. Информации по такой теме очень мало, она разрознена, не подходила для моего случая, и конечно же всё было на английском языке. В основном информация была для работы с наиболее популярными API: Drive, Cloud, Google Plus. В официальной документации API YouTube есть готовый код, бери да пользуйся, однако для Android он не подходит. Потратив немалое количество времени, методом проб и ошибок я пришла к рабочему решению. Первое, что мне захотелось сделать после, это собрать информацию «в кучу» и разложить по полочкам, что и сподвигло на написание этого урока.

Изначально моё решение начиналось с того, что перед пользователем открывался WebView для авторизации (ввод email, пароля). Далее запрашивалось разрешение на использование данных, и только после разрешения в ответе приходил код аутентификации (AuthCode), подробнее что с ним делать будет далее. Url, который открывался в WebView был следующий:

Это ни что иное, как post запрос, в ответ на который приходила страница, содержащая authCode, причем код был в заголовке страницы. Всё, как по рекомендации к API, а действия для сокрытия этого кода от пользователя оставили на разработчика.

Всё работало хорошо, приложение опубликовано, но в один прекрасный день я увидела следующее:

Перейдя по ссылке «Подробнее» попадаем в блог, где сказано, что во имя безопасности, аутентификация через WebView работать не будет с 20 апреля. Ну вот, думаю я, только сделала и придется переделывать через Sign-In. Причем первоначально я пыталась сделать реализацию именно через этот сервис. Однако с уже имеющимися знаниями «что и зачем» получилось довольно быстро. И так, начнем.

1. Получение учетных данных

В Диспетчере API создаем новый проект (или выбираем существующий):

Для авторизации понадобится файл конфигурации, который можно получить в мастере:

Заполняем поля название приложения и пакет. Далее выбираем какой сервис подключаем (Google Sign-In), здесь нужно ввести SHA1 ключ приложения, получить его просто: в Android Studio находим вкладку Gradle, раскрываем вкладки Tasks-android-signingReport. Щелкаем два раза, и в логах появится информация о ключах. Находим ключ SHA1, копируем.

Жмем кнопку «Generate configuration file», а после «Download google-services.json». Этот файл json сохраняем в папку проекта «app».

Важно! Если вы собираетесь публиковать приложение в Google Play, debug ключ SHA1 нужно будет заменить на release ключ, соответственно и заменить файл конфигурации.

Заходим в Диспетчер API, видим, что сгенерировались ключи и идентификаторы клиентов OAuth. Нам понадобятся только данные Web client (идентификатор клиента и секрет клиента).

Во вкладке «Окно запроса доступа OAuth» можно поменять email и название продукта — это то, что будет написано, когда будет запрашиваться разрешение «Приложение **** запрашивает: …»

2. Настройка Sign-In клиента

Чтобы получить доступ к Google Api Client, в файл gradle app нужно добавить в зависимости:

И плагин (в конец файла):

В файл gradle project в зависимости:

Здесь наибольший интерес вызывают строки:

requestServerAuthCode(getString(R.string.server_client_id)) – запрашиваем authCode, передавая параметр идентификатор клиента (весь полностью), который получили выше.

requestScopes(new Scope(«***»)) – запрашиваем необходимую для используемого API область/области доступа. Есть некоторые уже определенные области в Scopes, но, если нужной там не нашлось, можно задать свою, как в моём случае. Для пользователя будет отображаться как доступ «к чему» хочет получить приложение.

Тут всё по стандарту из документации:

enableAutoManage(this, this) – в параметры передается активити и слушатель соединения (реализуем интерфейс GoogleApiClient.OnConnectionFailedListener).

addApi(Auth.GOOGLE_SIGN_IN_API, gso) – указываем, что используем Sign In api и ранее созданный объект опций.

Теперь для запуска авторизации нужна кнопка (либо любой другой элемент). Можно использовать стандартную кнопку Sign In Button. Разметка xml:

Выглядит она так:

В активити кнопка определяется как и все другие view, на нее повешаем слушатель и по клику выполним метод:

Код вызываемого метода представляет собой создание интента и вызов активити для авторизации:

В параметр передаем сконфигурированный mApiClient. RC_AUTH_CODE любое число, как и всегда, для отслеживания результата активити.

При нажатии на копку, будет предложено выбрать аккаунт для входа, либо добавить новый. После выбора, приложение запросит разрешение:

3. Получение Auth code

После того, как пользователь даст разрешение, в onActivityResult получаем данные его аккаунта:

В результате получаем auth code как обычную строку, выглядит он примерно так:

Так же из аккаунта можно получить email пользователя, username и аватарку:

acct.getEmail()
acct.getDisplayName()
acct.getPhotoUrl()

Эти данные могут понадобиться, например, чтобы вставить их в header NavigationView.

4. Получение Access Token и Refresh Token

Получили auth code, теперь его нужно поменять на необходимые для запросов к API токены. Для этого формируем запрос по адресу https://www.googleapis.com/oauth2/v4/token. Например я сделаю это с помощью OkHttp.

Рассмотрим подробнее параметры. В Request.Builder() Передаем url по которому получаем токены:

В header указываем Content-Type:

Указываем, что это метод POST, в него передаем body:

Сформированный requestBody обязательно должен содержать параметры:

«grant_type», «authorization_code» – указываем, что передавать будем auth code
«client_id», getString(R.string.server_client_id) – параметр является client id, полученный в Диспетчере API
«client_secret», getString(R.string.client_secret) — секрет клиента, полученный в Диспетчере API
«code», authCode – собственно полученный код.

Запрос асинхронный, в ответе получаем обычный json со всеми нужными для работы данными:

«access_token» – токен доступа, ради которого всё проводилось
«expires_in» – время жизни access токена, по умолчанию токен живет 1 час, а в сутки можно получать по запросу 25 токенов, не более.
«token_type» – тип токена, его тоже необходимо запомнить, он также вставляется в запрос к api в дальнейшем.
«refresh_token» – токен для обновления access токена, когда пройдет час жизни. Refresh токен неизменен. Часто на форумах видела проблему, с которой сталкивалась и сама: в запросе не приходил этот токен. Ошибки заключаются в неправильном получении учетных данных, либо неправильные запросы. Если авторизация проводилась через WebView, и в url не указывался такой важный параметр как access_type=offline, то refresh токен попросту не приходил.

5. Обновление Access токена

Час прошел, access токен больше не активен, необходим новый. После этого посыпятся ошибки 401 или 403, сервер скажет, что пользователь не авторизован или не имеет доступа. Запрашивать новое разрешение не годится, если нам нужна непрерывная сессия, например как у меня, нужно непрерывно получать сообщения из чата в течении трансляции, а это несколько часов. Что делать? Посылать запрос на получение нового токена.

Запрос в основном такой же как в пункте 4, за исключением некоторых параметров:

Здесь важные параметры:

«grant_type», «refresh_token» – в типе указываем что посылаем refresh токен
«refresh_token», mRefreshToken – и сам токен

Ответом будет json, содержащий новый access токен, с которым снова можно обращаться к API:

На этом авторизация и аутентификация пользователя завершена.

Для примера покажу как выглядит запрос к API, а также как я выполняю обновление токена.
Для запроса к API я использую Retrofit2 + RxAndroid. Так выглядит запрос на получение чата прямой трансляции:

Здесь важно заметить, что в header по ключу Authorization должны передаваться тип токена и сам access токен. То есть так:

Далее делаю запрос через RxAndroid, и так как в коллбэк onError приходят всевозможные ошибки, то туда же приходит ошибка HttpException с кодом 401 Unauthorized по истечении часа. Здесь же я обрабатываю её, проверяю, если это та самая ошибка, то привожу к соответствующему типу, проверяю действительно ли это код 401 и выполняю метод получения нового токена, затем повторяю запрос.

Так же для проверки токена существует GET запрос:

В ответ придут данные о токене, если он еще активен, либо ошибка, если его время жизни истекло.

Опять же, реализацию обновления токена Google оставляет на разработчика.

Выйти из аккаунта и отозвать авторизацию намного проще, в официальной документации найти не составит труда, если понадобится.

Рекомендую перед началом работы проверять запросы в стороннем приложении/расширении, например Postman, чтобы убедиться в правильности ввода параметров и полученных ответах. Я буду очень рада, если кому-то урок окажется полезным!

Источник

How to Bypass 2FA Gmail Protection and Google 2-Step Verification on Android Devices?

2FA is a great way to add extra protection to your online accounts beside a username and password. But, what if you need to turn off 2FA?

Is it even possible to bypass 2FA Gmail security?

It is and if you need to bypass 2FA or factory reset protection on your device, for any reason, this article will explain how to do that.

What is 2FA?

2FA or 2-factor authentication is an additional protection layer to the already existing login information. This ensures that the person trying to log in to an online account is who they say they are.

In other words, 2FA kicks in right after you enter your username and password, but before gaining access to the account. Instead, with 2FA Gmail, you need to provide an extra piece of info.

• Something you have: Token, smartphone, credit or debit card
• Something you know: A PIN, keystroke pattern, password, or an answer to a secret question
• Something you are: Biometric patterns, iris scan, voice recording, fingerprint, handprint, etc.

How do I Turn on 2FA Gmail Protection?

To turn on 2FA for Google account verification, follow these steps, as explained in Google Support:

1. Go to your Google account by clicking your image an selecting Manage your Google Account
2. Select Security from the navigation panel on the left side
3. Select 2-step verification under Signing into Google
4. Click the Get Started buttonand follow the on-screen steps

Now let’s say you forgot or lost your 2FA and you need it for Google account verification.

How to Bypass 2FA Gmail Protection?

Can 2FA be bypassed?

Of course, and there are several methods this can be done. We’ll talk about the five most common, but if you’re interested, read this report by KnowBe4 which mentions 11 ways to bypass Google 2-Step verification.

1) Using the Password Reset Function

This is what the hackers did in the example above. They sent a fake Gmail alert, phished an SMS token and finally had their victims reset their passwords.

2) Using an OAuth Mechanism

Another 2FA Gmail bypassing method is to use a 3rd party login mechanism called OAuth. If you’re not familiar with OAuth, this is when you use Google or Facebook to log in to another account.

Although this is a convenient way to log in to a website and Google or Facebook should be safe, it’s also a way for the hacker to bypass 2FA. Instead, they can use OAuth integration to log in without needing the login credentials.

3) Using Race Conditions

A “race condition” is the repeated usage of a previously known value, such as the app’s ability to use used or unused tokens later. For this, the hacker would first need to have access to those previous values, which they can get by intercepting a previous code.

4) Using Brute Force

Finally, if there is no rate limitation in the input fields, an attacker can attempt to brute force the 2FA code, especially if it’s number-based. As the normal length of a code is 4-6 numbers, that’s “only” 151,800 possibilities. You don’t need a supercomputer to crack that.

5) Using Social Engineering

For this, the hacker needs to have the target’s username and password already. With that, they can send out an email to their victim, with a Google verification code request that was sent to the target’s number. Once the target sends the code, the attacker can easily bypass 2FA.

In another case scenario, the hacker can trick the user into clicking on a phishing link in an email, where the user will provide their credentials.

Then, the hacker can use these to log in to the real site. When the target also receives and enters the code, the hacker will see this on the fake site and can enter the code on the real site to bypass 2FA.

Can 2-Factor Authentication be Hacked? How Hackers Can Get Around 2-Factor Authentication?

Can hackers bypass 2-step verification?

In 2018, hackers were able to bypass Gmail and Yahoo 2FA verification. Those same hackers also created phishing sites for secure email services like ProtonMail and Tutanota.

According to an Amnesty International report, the users first received a fake Gmail security alert about their account being compromised and having to change their passwords.

Next, they were sent to a fake Google or Yahoo site where they had to enter their login credentials. From this page, the targets were redirected to another page telling them that they’ve been sent a Google verification code via SMS.

Upon entering the code, the user would see the password reset form. If they did reset, the hackers were given full access to their accounts.. Since the Google spoof email looked like a legitimate email from Google, few who got it looked at it twice.

How to Bypass Google 2-Step Verification on Your Android Phone?

According to Litmus, in 2018 (June), 46% of email opens came from mobile devices, while 35% came from webmail and 18% from desktops.

You probably signed in to your email account from your device once or twice at least.

But a phone can drop out of your pocket, get forgotten in the restaurant, lost, or even stolen in many ways.

That’s why Google introduced new security features with Lollipop 5.1. One of the biggest is the Factory Reset Protection (FRP) or Google Account Verification.

What Does Google Account Verification do?

Before Android 5.1 Lollipop, a simple factory reset was all that was needed to bypass Google 2-step verification on your device.

As of Lollipop and thanks to Factory Reset Protection, this is no longer the case. Instead, if you try the factory reset to bypass Google account verification, the following message will show up on the device screen:

“This device was reset. To continue sign in with a Google account that was previously synced on this device.”

Obviously, this is a great way to protect your device in case it gets stolen or lost. However, the problem is when you purchase the device from a 3rd-party reseller and can’t unlock it.

Fortunately, there is a way you can bypass Google FRP Lock.

Bypass Google Account Verification Lock With an FRP Bypass APK

A lot of Samsung users report that this FRP Bypass method works for them.

In this case, you need:

• An OTG cable
• USB stick
• Your PC
• Your Android phone
• FRP bypass APK

• A stable WiFI nNetwork Connection (Read: how to secure your home network)

To bypass Google 2-step verification:

1. Download an FRP bypass APK and copy it on your USB stick
2. Restart your Android device (press and hold the power and volume down keys for 7+ seconds)
3. Connect the phone to the WiFI network (skip the Insert SIM card screen)
4. Check “I understand and agree to the terms and conditions above” and “No thanks”
5. Tap Next
6. Put the USB stick in your PC when you see the FRP Lock message
7. Connect your Android and PC using the OTG cable and wait for the File Manager to kick in
8. In the File Manager, tap Bypass Any Samsung Account Lock.
9. Tap on the next folder to open it and tap on the .txt file: Bypass Any Samsung Lock.apk.
10. Tap the Settings button when the Install Blocked message appears
11. Go to Unkown Sources in the Settings (the gear icon)
12. Check Allow this installation only and tap OK
13. In the Development Settings screen, tap Install under Do you want to install this application?
14. Tap Open once the installation finishes
15. Go to Settings and select Backup and Reset
16. Tap Factory Data Reset on your phone
17. Next, tap Erase Everything and wait a couple of minutes to finish
18. The phone will now reset and you’ll see the initial setup screen
19. Finally, remove the OTG cable from your devices and do the setup again. The FRP bypass is complete

Disable FRP Bypass by Removing Your Google Account

This method works if you’re the one selling the phone, but not if you’re buying it.

1. Open Settings on your phone
2. Tap Accounts
3. Select your Google account
4. Tap Remove Account and confirm

Bypass Google Account Verification From the Setup

In order to bypass Google 2-step verification during setup, you’ll need to do the following:

1. Navigate to Settings > General Settings > Reset
2. Follow the setup process until you get to Connect to the WiFi Network
3. Tap the WiFi password textbox
4. A Google keyboard will appear. Tap & hold the Spacebar and select English (or your native language)
5. Back in the WiFi connection screen enter your network password
6. After a while, you’ll be prompted to enter your Google Account information. Enter your email address
7. Press and hold the @ symbol
8. Go to Google Keyboard Settings
9. Tap the three dots menu
10. Select Help & Feedback
11. On the next screen, select Search Google & send results from your keyboard
12. This will open a web page. Press and hold anywhere until you see a menu appear
13. Tap Web Search within that menu and select Google App
14. Tap the gear icon to open Settings
15. Select Backup & Reset
16. Tap Factory Data Reset
17. Now, when you go through the setup, you can skip Google Account Verification and bypass Google FRP

Reset Your Android Device to Bypass Google FRP

Finally, the fourth method to remove Google 2-step Verification is to reset your Android device:

1. Start the reset process on your Android device
2. Tap Back when the Google Account Verification screen appears
3. Select Add Network in the Wireless Network selection screen
4. In the text box for the Network Name enter something randomly
5. Press and hold to highlight the random string you entered
6. Press Notification and go to App Settings
7. Tap the three dots menu, select Account and go to Settings
8. In the Settings menu, select Backup and Reset>Factory Data Reset

Conclusion

Having 2FA protection is way better than not having just a username and password to protect your phone or other devices, but it’s still not 100% secure. As you can see, it is possible to bypass Google 2-step verification.

If you don’t want to be the one getting your hacked email hacked, make sure to use a secure email provider that includes a phishing protection mechanism and has zero-knowledge password protection.

Sign in to CTemplar to avoid getting your password phished easily and protect your email data from bad actors.

Reclaim your right to privacy now!

Stand with us in the fight to protect your privacy, civil liberties, and right to anonymity! Create your anonymous encrypted email today.

Источник