Gmail साइन-अप में अब QR कोड स्कैन करके SMS भेजने का तरीका लागू

 (discuss.privacyguides.net)
3 पॉइंट द्वारा GN⁺ 2 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google अकाउंट रजिस्ट्रेशन का तरीका बदल गया है; पहले SMS प्राप्त कर सत्यापन होता था, अब यूज़र के फ़ोन से सीधे SMS भेजने वाले तरीके पर स्विच किया गया है
  • स्मार्टफ़ोन पर QR कोड स्कैन करने पर Google को SMS अपने-आप भेजा जाता है और फ़ोन नंबर सत्यापन पूरा होता है
  • इस बदलाव से SMSpool जैसी अस्थायी नंबर रिसीव सेवा के ज़रिए अकाउंट बनाना ब्लॉक हो जाता है
  • इससे फ़िशिंग रोकने में मदद मिलती है, लेकिन प्राइवेसी को महत्व देने वाले यूज़र्स के लिए अनाम अकाउंट बनाना और मुश्किल हो जाता है
  • अलग-अलग देशों में SIM के real-name registration और नंबर के दोबारा आवंटन के कारण यह सवाल बड़ा हो गया है कि क्या Google पुराने फ़ोन नंबर रिकॉर्ड के आधार पर पहचान ट्रैक कर सकता है या दोबारा सत्यापन मांग सकता है

बदला हुआ रजिस्ट्रेशन तरीका

  • QR कोड के ज़रिए पुराना रजिस्ट्रेशन तरीका अब काम नहीं करता; स्मार्टफ़ोन से QR कोड स्कैन करने पर यूज़र के फ़ोन से Google को SMS भेजा जाता है और फ़ोन नंबर सत्यापित हो जाता है
  • यह तरीका सुरक्षा के उद्देश्य से लाया गया है और फ़िशिंग को अधिक कठिन बनाने का असर रखता है
  • लेकिन SMSpool जैसी सिर्फ़ SMS रिसीव करने वाली सेवाओं के ज़रिए सत्यापन अब संभव नहीं है

प्राइवेसी से जुड़ी चिंताएँ

  • आम यूज़र वैसे भी SMS verification services का उपयोग नहीं करते; इस बदलाव का असर मुख्य रूप से प्राइवेसी को महत्व देने वाले व्यक्तियों पर पड़ता है
  • इस्तेमाल किए हुए अकाउंट खरीदने में, पिछले मालिक से संबंध का पता नहीं चल पाने के कारण अपना अलग जोखिम मौजूद रहता है
  • यह प्रतिक्रिया भी सामने आई है कि Google लगातार अधिक बंद होता जा रहा है और workaround की ज़रूरत पड़ रही है

QR कोड सत्यापन का क्षेत्रीय लागू होना

  • यह सवाल उठाया गया है कि क्या QR कोड सत्यापन सभी देशों में एक जैसा लागू होता है
  • कुछ देशों (जैसे इटली) में SIM खरीदते समय पहचान-पत्र पंजीकरण अनिवार्य होता है; ऐसे में उस नंबर से अकाउंट बनाने के बाद नंबर दोबारा आवंटित हो जाए तो ट्रैकिंग संभव है या नहीं, यह स्पष्ट नहीं है
  • Google यूज़र द्वारा रजिस्टर किए गए सभी फ़ोन नंबरों का रिकॉर्ड सुरक्षित रखता है, लेकिन जिन नंबरों का स्वामित्व अब यूज़र के पास नहीं है, उनसे सत्यापन की अनुमति नहीं देता

सुरक्षा दृष्टिकोण से आपत्तियाँ

  • यूज़र के फ़ोन से SMS भेजने वाला तरीका फ़ोन नंबर spoofing की संभावना रखता है, इसलिए इसे MFA में उपयोग करने को लेकर चिंता मौजूद है
  • अंततः SMS भेजने की सेवा देने वाली नई bypass services सामने आ सकती हैं, ऐसी संभावना भी जताई गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2 시간 전
Hacker News की राय

  • Gmail को लेकर शिकायतें बहुत हैं, लेकिन Google की स्थिति भी कुछ हद तक समझ में आती है
    वह व्यावहारिक रूप से इंटरनेट इन्फ्रास्ट्रक्चर के बड़े हिस्से को मुफ्त में चलाए रखने की भूमिका में फंस गया है, और उसके इतने ज़्यादा यूज़र हैं कि अगर इसे बंद कर दे तो दुनिया भर में हड़कंप मच जाएगा
    इसे बनाए रखना महंगा, जटिल और समय लेने वाला है, और यह spam और fraud, दोनों का स्रोत भी है और गंतव्य भी। ऊपर से डेटा को लगभग हमेशा के लिए संभालकर रखने का बोझ भी बड़ा है
    फिर भी, मेरा मानना है कि मुफ्त email का विचार ही मूल रूप से अच्छा नहीं है। मुफ्त email service से अच्छा या बेहतर support मिलने की उम्मीद करना मुश्किल है, और जो सेवाएं अब तक बची हैं, वे भी शायद सद्भावना से ज़्यादा backlash के डर से बची हुई हैं। सीधे paid email service इस्तेमाल करना बेहतर है और मन भी शांत रहता है

    • “मुफ्त में सिर पर आ पड़ा” कहना सही नहीं है। Google ने इसे खुद अपनी इच्छा से मुफ्त दिया था, और उस समय मुफ्त storage space हैरान कर देने वाला बड़ा था
      उस दौर में ISP mailbox अगर 25MB या 50MB दे दे तो भी काफी अच्छा माना जाता था, लेकिन Google लोगों को खींचने के लिए 1~2GB दे रहा था
      abuse रोकने के लिए कदम उठाने का उसे अधिकार है और मुफ्त देने की कोई बाध्यता भी नहीं, लेकिन Google पर मुफ्त email थोप दिया गया था, ऐसा नहीं है; और प्रतिस्पर्धियों से कहीं बड़ा फायदा देना भी उसका अपना चुनाव था
    • “मुफ्त” का मतलब क्या है, यह समझ नहीं आता। Google के पास यूज़रों से मिलने वाला सारा data है, और अब तो वह तब भी ट्रैक कर सकता है जब आप फोन इस्तेमाल नहीं कर रहे हों
      इंटरनेट कैसे चलता है, उस पर भी उसका नियंत्रण है। वह HTTPS को मजबूर कर सकता है, और trackers या etag को भी अपनी मर्ज़ी से संभाल सकता है
      वह यूज़र की सारी जानकारी अच्छी कीमत पर बेच सकता है, और terms के हिसाब से अगर उसे टुकड़ों में बेच भी दे तो यूज़र के लिए विरोध करना आसान नहीं होगा। ऊपर से यह मुफ्त दिख सकता है, लेकिन बहुत से लोग अलग-अलग तरीकों से Google को premium चुका रहे हैं
      पुराना Google innovation और अच्छे ideas से दुनिया को बेहतर बनाने वाली कंपनी मानकर सम्मान पाता था, लेकिन आज भी वह दुनिया बदल तो रहा है, बस ज़रूरी नहीं कि सबके लिए बेहतर दिशा में
    • यह बिल्कुल सच नहीं है। Google अपने products और services को बिना झिझक अक्सर बंद कर देता है
      अगर Gmail, यूज़रों से सीधे या परोक्ष रूप से निकाले और बेचे जाने वाले data से ज़्यादा महंगा होता, तो Gmail भी मौजूद नहीं होता
    • Gmail अभी भी और पहले भी कभी मुफ्त नहीं था। हर कोई इसकी कीमत चुकाता है
      अगर किसी business को ग्राहकों से संपर्क करना हो, तो bulk sending के लिए उसे allowlist के लिए भुगतान करना पड़ता है, और यह लागत उन ग्राहकों पर भी डाल दी जाती है जिन्होंने कभी Gmail इस्तेमाल ही नहीं किया
      जो कंपनियां ऐसी सूची के लिए पैसे नहीं देतीं, अगर उनके बहुत से ग्राहक Gmail यूज़र हों, तो उन्हें सावधानी से sending rate limit लगानी पड़ती है, जिससे email उसी दिन न पहुँचे
      email marketing और campaign कंपनियां भी इस सूची के लिए पैसे देती हैं, और फिर यह खर्च अपने ग्राहकों पर डालती हैं। लाखों लोगों के लिए bulk email मुफ्त में स्वीकार करने वाला कोई email provider असल में कभी था ही नहीं
    • Google ecosystem ने पिछले साल 130 billion dollars से ज़्यादा profit कमाया था, इसलिए उस पर बिल्कुल तरस नहीं आता

  • अगर Gmail टीम का कोई व्यक्ति यहाँ है, तो वह यह समझाए कि Google क्यों अपनी ही services का दुरुपयोग करने वाले Gmail phishing mail को चलने देता है। जैसे https://storage.googleapis.com/savelinge/ जैसी चीज़ें
    ज़्यादा जानकारी यहाँ है: https://news.ycombinator.com/item?id=46665414

    • हाल में spam सच में बहुत खराब हो गया है। legit sites का इस्तेमाल करके filters को bypass किया जा रहा है, जैसे असली invoice generation site के ज़रिए invoice भेजना
      या फिर किसी ऑर्डर किए गए सामान की delivery tracking service होने का नाटक करके कई दिनों में यह दिखाना कि parcel खो गया, और फिर “purchase amount” जितना discount code देने की बात करके phishing site पर उसे इस्तेमाल करवाने की कोशिश करना
      Gmail न सिर्फ ऐसे mail को spam के रूप में नहीं पहचान पाता, बल्कि उन्हें important mail मानकर top-priority notification और summary तक दिखाता है
    • लगता है Google को अपनी services जुड़ी हों तो सब मंज़ूर है। *.bc.googleusercontent.com कई सालों से व्यावहारिक रूप से spam farm की तरह इस्तेमाल हो रहा है, इसलिए मैंने इसे पूरी तरह block कर दिया
      लेकिन Google को शायद Compute Engine users को ज़रा-सी भी असुविधा न हो, इस चिंता में कुछ भी करने का मन नहीं है
    • वजह वही है जिसकी वजह से spam filtering कठिन है। अगर service abuse को पूरी तरह पकड़ने की कोशिश करो, तो false positives इतने बढ़ जाते हैं कि यह संभव नहीं रहता
    • मेरे पास जवाब नहीं है, लेकिन कम से कम एक परिकल्पना तो बनती है कि @gmail.com पते से आने वाला इतना साफ़ और बेवकूफ़ी भरा “Costco” spam, बार-बार spam mark करने पर भी inbox में क्यों आता रहता है
    • लगता है Google अपने द्वारा अधिग्रहित AppSheet का इस्तेमाल करके phishers को काफी believable और targeted mail भेजने से रोक नहीं पा रहा। ऐसे mail सामान्य inbox तक पहुँच जाते हैं
      अगर requests को नज़रअंदाज़ किया जाए, तो ऐसे hiring scam mail को उस brand की legal, fraud, या phishing response team तक पहुँचाना ही एक रास्ता बचता है जिसकी नकल की जा रही है। अगर कंपनी को दिलचस्पी न हो, तो law firm के नाम से भेजा गया formal letter शायद priority बढ़ाने में मदद करे

  • “smartphone पर QR code इस्तेमाल करने से phone से Google को SMS भेजा जाता है ताकि phone number verify हो” — इस बात पर, क्या forum comments के अलावा कोई बेहतर source है जो यह न माने कि QR code scan करते ही message भेज दिया जाता है?
    मैंने जांचा, यह बस SMS URI है। यह अपने आप कुछ नहीं भेजता, सिर्फ यूज़र के लिए भेजे जाने वाला text message खोलता है
    यानी, पुरानी phone-number verification प्रक्रिया में बस QR code की सुविधा जोड़ दी गई है

    • अगर फोन यह न कर पाए तो क्या होगा, पता नहीं। मैं flip phone इस्तेमाल करता हूँ; camera है, लेकिन QR code scan नहीं कर सकता
    • पुरानी प्रक्रिया में Google यूज़र को SMS भेजता था। अब SMS receive करना phone farm को 30 cents देकर आसान हो गया है, इसलिए Google इसे send-model में बदल रहा है। हालाँकि phone farm भी जल्दी ही इसके अनुकूल हो जाएंगे
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • शायद इतना काफी होगा कि फोन पर messaging app खुले और number व message body पहले से भरे हुए हों। यूज़र को बस send दबाना होगा
    • phone-number verification आम तौर पर Google की तरफ़ से यूज़र को SMS भेजकर होती है, है न? उलटी दिशा कुछ अजीब लगती है

  • Google की हाल की चालें ऐसी लगती हैं मानो antitrust court को जिस निर्णायक सबूत की ज़रूरत थी, वही मिल गया हो। “यह करो, नहीं तो…” जैसा माहौल है
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play — इन सबको Google की ad machine से अलग करके स्वतंत्र रूप से टिकाऊ business होना चाहिए
    Gmail को दूसरे email providers के साथ यूज़र हासिल करने की प्रतिस्पर्धा करनी चाहिए, और reCAPTCHA को भी इन्फ्रास्ट्रक्चर लागत पूरी तरह अपनी ही revenue से उठानी चाहिए। इससे प्रतिस्पर्धा का मैदान बराबर होगा, आलोचना शांत होगी और सबको कुछ राहत मिलेगी

    • Google ने दावा किया था कि AI उसके search empire और ad empire के लिए बहुत बड़ा खतरा है। लेकिन judge द्वारा Google के monopoly abuse पर हैरान कर देने वाले कमज़ोर उपाय देने के कुछ ही हफ्तों बाद, उसने Apple के साथ साझेदारी करके यह सुनिश्चित कर दिया कि smartphone के default AI agents का लगभग 100% Google-आधारित हो
    • अगर Google email में इतना monopolistic है, तो लोग online कोई और free या paid email service क्यों नहीं इस्तेमाल कर लेते?

  • हाल ही में मैंने एक छोटे business के लिए Google Workspace account setup में मदद की, और signup के दौरान दीवार से टकरा गया
    मैंने owners से कहा कि अगर onboarding में ही Google इतना मुश्किल है, तो बाद में जब account lock हो जाए और ग्राहक का काम अटक जाए, तब क्या होगा। मैंने उन्हें Google account lock horror stories के कुछ उदाहरण दिखाए, और आखिरकार उन्होंने कोई दूसरी business collaboration solution चुन ली

    • अगर आप Business Standard से Business Plus में upgrade करने की कोशिश करते हैं, तो Google upgrade के दौरान अधिकतम 24 घंटे तक Workspace storage को प्रति user 2TB से घटाकर 0 bytes कर देता है
      support का असली जवाब था: “मैंने जांच की है और आपकी Business Standard से Business Plus upgrade की वजह से storage 0 bytes दिख रहा है। चिंता की बात नहीं है, यह पूरी तरह सामान्य है”
      फिर उन्होंने यह भी कहा: “जब subscription upgrade होती है, तो backend system पहले पुराने Business Standard storage allocation को अलग करता है और फिर नया Business Plus quota provision करता है; इस transition period में quota अस्थायी रूप से 0 पर default हो जाता है”
      अंत में उन्होंने कहा कि user storage limit या shared drive storage limit को on करके 5 मिनट बाद off कर दें, लेकिन quota को जल्दी reset करवाने की यह कोशिश असफल रही, और आखिरकार इसमें कई घंटे लगे
    • इसलिए मैंने जिन भी domains को manage करता हूँ, उन सबको Gmail से migrate करने की योजना शुरू कर दी है। Gmail एक product के रूप में वास्तव में बेहतर नहीं हो रहा, और जिन चीज़ों की मुझे न चाह है न ज़रूरत, उन्हें ऊपर बेचने की कोशिश करते हुए लगातार ज़्यादा परेशान करने वाला बनता जा रहा है
      हर साल थोड़ा और खराब हो रहा है। Gmail का scale इतना बड़ा है कि paid होने पर भी support मिलने की संभावना लगभग नहीं के बराबर है, और यह risk उठाना बहुत भारी पड़ता है
    • “signup के दौरान दीवार से टकरा गया” से आपका क्या मतलब है? क्या आप इस लेख वाले QR code scan के बाद message भेजने की समस्या की बात कर रहे हैं, या कुछ और?
    • 2013 से मैं इसे काफी संतोष के साथ इस्तेमाल करता आया हूँ
      बस पिछले एक साल में कर्मचारियों से AI-related popups को लेकर शिकायतें सुननी शुरू हुई हैं, क्योंकि वे इन्हें नहीं चाहते
    • यह जानने की उत्सुकता है कि आप इसकी जगह क्या इस्तेमाल करते हैं। दूर की चीज़ अक्सर अच्छी लगती है
      फिर भी यह हैरान करने वाली बात नहीं होगी कि Microsoft का product भले और खराब हो, support शायद बेहतर दे दे

  • मैंने अभी signup flow खुद करके देखा, और QR code की ज़रूरत नहीं पड़ी। प्रक्रिया वही थी जो कई सालों से रही है
    personal/child/business चुनना, नाम डालना, email चुनना, date of birth, recovery email या skip, password, phone number डालना, 2-step verification code की पुष्टि, और फिर पूरा हो गया
    मैंने testregistrationflow@gmail.com account बनाया, और password तो मैं पहले ही भूल चुका हूँ, तो एक account यूँ ही गया। आप testregistrationflow1@gmail.com पर भी बिना QR code के होता है या नहीं, यह आज़मा सकते हैं
    साफ़ है कि headline ने उस खास flow को गलत तरीके से पेश किया है जो programmatically बहुत सारे Gmail accounts बनाने की कोशिश करने वाले लोगों पर लागू होता है

    • यह requirement शायद इस आधार पर trigger होती है कि Google आपको कितना trustworthy मानता है। Linux इस्तेमाल करना, Firefox इस्तेमाल करना, VPN इस्तेमाल करना जैसी चीज़ें असर डाल सकती हैं
    • अगर 2-step verification में इस्तेमाल किया गया phone number “बहुत ज़्यादा इस्तेमाल हो चुका” की स्थिति में पहुँच जाए, तो signup बीच में रुक सकता है
      कोई documented limit नहीं दिखती, और लोगों को जो एकमात्र समाधान मिला है वह है किसी दूसरे व्यक्ति से उसका phone number verification के लिए मदद में लेना
      और कठिन स्थिति तब होती है जब आप अपने मौजूदा account से log out हो जाते हैं। फिर login करने पर 2-step verification phone number माँगा जाता है, और वही number डालने पर भी यह कहकर fail हो जाता है कि यह number बहुत बार इस्तेमाल हो चुका है
      तब आप अपने पहले से मौजूद वैध account में भी login नहीं कर पाते। बेशक आपको कोई दूसरा 2-step verification method या passkey जोड़ना चाहिए था, लेकिन यह समझना मुश्किल है कि शुरू में इस्तेमाल किए गए उसी number से दोबारा verify क्यों नहीं कर सकते
      ऊपर से, दूसरे Google services के signup में account verification के लिए Google Voice number भी इस्तेमाल नहीं किया जा सकता
    • शायद Gmail launch के समय वाली पुरानी invite-only प्रणाली पर लौटना बेहतर होगा
      अगर हर account को नए accounts invite करने की संख्या छोटी और सीमित कर दी जाए, तो यह scammers को रोकने का एक तरीका हो सकता है
    • अगर आप फोन पर Google services के ज़रिए account बनाते हैं, तो phone number की भी ज़रूरत नहीं होती
    • आज मुझे Google का QR security check और पारंपरिक security check, दोनों मिले। इसे चरणों में roll out किया जा रहा है

  • “QR code scan करना ज़रूरी है” कहना वैसा है जैसे कहना कि train का दरवाज़ा खोलने के लिए QR code scan करना पड़ता है, जबकि असली requirement यह है कि billing के लिए phone को payment info से जोड़ा जाए — और इस बात को छोड़ दिया जाए
    Google यहाँ यह verify नहीं कर रहा कि आप data matrix को bytes में बदल सकते हैं या नहीं

  • यह सब “security” बदलाव जैसा दिखता है, लेकिन साथ ही privacy बचाने वाले workflows को हटाने का बहुत सुविधाजनक तरीका भी लगता है

    • मुझे भी यही लगता है। पूरा surveillance तभी काम करता है जब लोगों को ज़बरदस्ती tracking collar पहनना पड़े
      अगला कदम शायद इसे central bank digital currency से जोड़ना होगा, जहाँ wallet access के लिए phone number चाहिए होगा, और movement restrictions के लिए इसे real-name ID या passport से बाँध दिया जाएगा
      2-step verification privacy को चकनाचूर करने वाली कील बन चुकी है
    • Google की requirements को bypass करने के लिए online services हैं जो account activation के लिए temporary phone numbers देती हैं, लेकिन उनमें से ज़्यादातर केवल message receive कर सकती हैं
      यूज़र से खुद SMS भेजवाना ऐसी सेवाओं को हटाने और bots को बेकार करने का बढ़िया तरीका लगता है
      हालाँकि Google account में privacy-preserving flow का मतलब ही क्या है, यह मुझे साफ़ नहीं है। Google phone number के बिना भी आपको track कर सकता है