Pendaftaran Gmail kini berubah menjadi memindai kode QR dan mengirim SMS

 (discuss.privacyguides.net)
3 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Metode pendaftaran akun Google telah berubah: dari verifikasi dengan menerima SMS menjadi mengirim SMS langsung dari ponsel pengguna
  • Saat kode QR dipindai di smartphone, SMS akan otomatis dikirim ke Google sehingga verifikasi nomor telepon dilakukan
  • Perubahan ini memblokir pembuatan akun melalui layanan nomor sementara khusus penerima seperti SMSpool
  • Ada efek pencegahan phishing, tetapi bagi pengguna yang mengutamakan privasi, hal ini membuat pembuatan akun anonim menjadi lebih sulit
  • Karena registrasi SIM dengan identitas asli dan pengalihan ulang nomor berbeda-beda di tiap negara, muncul pertanyaan apakah Google dapat melacak identitas atau meminta verifikasi ulang berdasarkan riwayat nomor telepon lama

Metode pendaftaran yang berubah

  • Pendaftaran melalui kode QR yang lama tidak lagi berfungsi; saat kode QR dipindai di smartphone, SMS dikirim dari ponsel pengguna ke Google untuk memverifikasi nomor telepon
  • Metode ini diterapkan untuk tujuan keamanan, dan memiliki efek membuat phishing lebih sulit
  • Namun, verifikasi lewat layanan khusus penerima SMS seperti SMSpool kini tidak lagi memungkinkan

Kekhawatiran terkait privasi

  • Pengguna umum pada dasarnya tidak memakai layanan verifikasi SMS semacam ini, dan pihak yang paling terdampak oleh perubahan ini terutama adalah individu yang mengutamakan privasi
  • Membeli akun bekas memiliki risiko tersendiri karena keterkaitannya dengan pemilik sebelumnya tidak dapat diketahui
  • Ada juga tanggapan bahwa Google makin tertutup dan dibutuhkan cara untuk mengakalinya

Apakah verifikasi kode QR berlaku berbeda menurut wilayah

  • Muncul pertanyaan apakah verifikasi kode QR diterapkan sama di semua negara
  • Di beberapa negara (misalnya Italia), registrasi identitas wajib saat membeli SIM; jika akun dibuat dengan nomor tersebut lalu nomornya dialihkan ke orang lain, tidak jelas apakah pelacakan masih dimungkinkan
  • Google menyimpan riwayat semua nomor telepon yang pernah didaftarkan pengguna, tetapi tidak lagi mengizinkan verifikasi dengan nomor yang sudah tidak dimiliki

Sanggahan dari sudut pandang keamanan

  • Metode mengirim SMS dari ponsel pengguna memunculkan kekhawatiran karena ada kemungkinan spoofing nomor telepon, sehingga dipertanyakan bila digunakan untuk MFA
  • Pada akhirnya, diperkirakan akan muncul layanan baru untuk mengakali sistem yang menyediakan pengiriman SMS

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Opini Hacker News

  • Ada banyak keluhan tentang Gmail, tetapi sampai batas tertentu saya juga paham situasi yang dihadapi Google
    Pada praktiknya mereka terikat pada peran menjaga sebagian besar infrastruktur internet tetap gratis, dan jumlah penggunanya begitu besar sehingga kalau ditutup, dunia akan heboh
    Biaya pemeliharaannya mahal, rumit, dan memakan waktu, serta juga menjadi sumber dan tujuan spam maupun penipuan. Beban untuk menyimpan data secara efektif selamanya juga sangat besar
    Meski begitu, saya tetap menganggap gagasan email gratis itu sendiri pada dasarnya buruk. Sulit berharap layanan email gratis akan bagus atau didukung dengan baik, dan fakta bahwa layanan seperti itu masih ada kemungkinan lebih karena takut pada dampak balik daripada niat baik. Lebih baik pakai layanan email berbayar saja, dan rasanya juga lebih tenang

    • Ungkapan “terpaksa menanggungnya secara gratis” tidak tepat. Google sendiri yang memilih memberikannya gratis, dan saat itu kapasitas penyimpanan gratisnya sangat tidak masuk akal besarnya
      Pada masa itu, kotak surat dari ISP yang memberi 25MB atau 50MB saja sudah tergolong lumayan, tetapi Google memberi 1~2GB untuk menarik orang masuk
      Mereka tentu berhak mengambil langkah untuk mencegah penyalahgunaan dan tidak punya kewajiban untuk terus memberikannya gratis, tetapi Google bukan dipaksa menanggung email gratis, dan keputusan memberi manfaat yang jauh lebih besar daripada pesaing juga pilihan mereka sendiri
    • Saya tidak tahu “gratis” itu maksudnya apa. Google memiliki semua data yang didapat dari pengguna, dan sekarang bahkan bisa melacak saat Anda tidak memakai ponsel
      Mereka juga mengendalikan cara internet bergerak. Mereka bisa memaksakan HTTPS, dan bebas mengatur pelacak maupun etag
      Mereka bisa menjual semua informasi tentang pengguna dengan harga bagus, dan berdasarkan ketentuan layanan, bahkan jika dipotong-potong dan dijual kapan saja pun pengguna sulit memprotes. Dari luar mungkin tampak gratis, tetapi banyak orang membayar premi ke Google dengan berbagai cara
      Dulu Google dihormati karena inovasi dan ide-ide bagus untuk membuat dunia lebih baik, tetapi sekarang pun mereka masih mengubah dunia, hanya saja arahnya bukan untuk semua orang
    • Itu sama sekali tidak benar. Google sering menutup produk dan layanan tanpa banyak pikir panjang
      Jika Gmail lebih mahal daripada data yang digali dan dijualnya, baik secara langsung maupun tidak langsung, Gmail tidak akan ada
    • Gmail sekarang, dan sejak dulu, tidak pernah benar-benar gratis. Semua orang membayar biayanya
      Jika perusahaan ingin menghubungi pelanggan, mereka harus membayar untuk masuk ke daftar izin demi pengiriman massal, dan biaya itu dibebankan bahkan kepada pelanggan yang tidak pernah memakai Gmail
      Jika sebuah perusahaan tidak membayar daftar seperti itu tetapi punya banyak pelanggan pengguna Gmail, mereka harus hati-hati membatasi laju pengiriman sehingga email mungkin tidak sampai pada hari yang sama
      Perusahaan email marketing dan kampanye juga membayar daftar ini, lalu meneruskan biayanya kepada pelanggan mereka. Memang sejak awal tidak pernah ada penyedia email yang menerima email massal ke jutaan orang secara gratis
    • Ekosistem Google menghasilkan lebih dari 130 miliar dolar AS laba tahun lalu, jadi sama sekali tidak layak dikasihani

  • Kalau ada orang Gmail di sini, saya ingin mereka menjelaskan kenapa Gmail membiarkan email phishing yang menyalahgunakan layanan Google sendiri. Misalnya hal-hal seperti https://storage.googleapis.com/savelinge/
    Detail lebih lanjut ada di sini: https://news.ycombinator.com/item?id=46665414

    • Belakangan ini spam benar-benar makin parah. Mereka memakai situs yang sah untuk melewati filter, misalnya mengirim tagihan melalui situs pembuat invoice yang normal
      Ada juga yang berpura-pura sebagai layanan pelacakan pengiriman untuk barang yang memang Anda pesan, lalu selama beberapa hari membuat seolah-olah paket hilang, dan menawarkan kode diskon senilai “jumlah pembelian” agar dipakai di situs phishing
      Gmail bukan cuma gagal mengelompokkan email seperti ini sebagai spam, tetapi malah mengklasifikasikannya sebagai email penting dan memunculkan notifikasi prioritas tertinggi beserta ringkasannya
    • Google tampaknya menganggap semuanya boleh saja kalau melibatkan layanannya sendiri. *.bc.googleusercontent.com sudah bertahun-tahun pada praktiknya dipakai sebagai ladang spam, sampai saya memblokirnya total
      Tetapi Google tampaknya sama sekali tidak peduli, seolah mereka tidak ingin membuat pengguna Compute Engine merasa sedikit pun tidak nyaman
    • Alasannya sama seperti kenapa pemfilteran spam itu sulit. Kalau mencoba menangkap semua penyalahgunaan layanan, jumlah positif palsu akan terlalu banyak sehingga tidak mungkin dilakukan
    • Saya tidak punya jawabannya, tetapi setidaknya ini memberi hipotesis untuk menjelaskan kenapa spam “Costco” yang jelas-jelas bodoh dari alamat @gmail.com tetap masuk ke inbox meski sudah berkali-kali ditandai sebagai spam
    • Google tampaknya gagal mencegah AppSheet yang mereka akuisisi dipakai para phisher untuk mengirim email yang cukup meyakinkan dan tertarget. Email seperti itu bahkan sampai ke inbox biasa
      Jika permintaan diabaikan, satu-satunya cara mungkin meneruskan email penipuan rekrutmen seperti ini ke tim hukum, penipuan, atau respons phishing dari merek yang dipalsukan. Jika perusahaannya tampak tidak peduli, surat resmi atas nama firma hukum mungkin membantu menaikkan prioritasnya

  • Tentang pernyataan “jika memakai smartphone untuk QR code, ponsel akan mengirim SMS ke Google untuk memverifikasi nomor telepon”, saya penasaran apakah ada sumber yang lebih baik daripada komentar forum yang mengira hanya dengan memindai QR code maka SMS akan terkirim
    Setelah dicek, ternyata itu hanya SMS URI. Tidak ada yang terkirim otomatis; itu hanya membuka pesan teks yang akan dikirim oleh pengguna
    Jadi pada akhirnya ini hanya menambahkan kemudahan QR code pada verifikasi nomor telepon model lama

    • Saya tidak tahu apa yang terjadi jika ponsel tidak bisa melakukan itu. Saya memakai feature phone lipat, ada kameranya tetapi tidak bisa memindai QR code
    • Cara lama adalah pengguna menerima SMS. Sekarang menerima SMS jadi mudah jika cukup membayar 30 sen ke phone farm, jadi Google mengubahnya menjadi skema pengiriman dari sisi pengguna. Phone farm juga pada akhirnya akan beradaptasi
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Mungkin cukup kalau di ponsel dibuka aplikasi pesan dengan nomor dan isi pesan yang sudah terisi sebelumnya. Pengguna tinggal menekan kirim
    • Bukankah verifikasi nomor telepon biasanya berarti Google mengirim SMS ke pengguna? Arah sebaliknya terasa asing

  • Langkah terbaru Google ini tampak seperti bukti penentu yang dibutuhkan pengadilan antimonopoli. Semacam “lakukan ini, atau...”
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play semuanya harus menjadi bisnis yang mandiri dan berkelanjutan secara terpisah dari mesin iklan Google
    Gmail harus bersaing dengan penyedia email lain untuk mendapatkan pengguna, dan reCAPTCHA juga harus menanggung seluruh biaya infrastrukturnya hanya dari pendapatan reCAPTCHA. Ini cara yang baik untuk meratakan arena persaingan, meredam kritik, dan memberi ruang bernapas

    • Google mengklaim AI adalah ancaman besar bagi kerajaan pencarian dan kerajaan iklannya. Tetapi beberapa minggu setelah hakim menjatuhkan tindakan yang sangat lemah terhadap penyalahgunaan monopoli Google, mereka bekerja sama dengan Apple agar hampir 100% agen AI bawaan smartphone berbasis Google
    • Jika Google memang semonopoli itu di email, bukankah orang bisa memakai layanan email gratis atau berbayar lain secara online

  • Baru-baru ini saya membantu menyiapkan akun Google Workspace untuk sebuah usaha kecil, dan kami mentok di proses pendaftaran
    Saya bilang ke para pemiliknya, kalau sejak tahap pendaftaran saja Google sudah serumit ini, bagaimana nanti kalau akun terkunci saat pekerjaan pelanggan sedang bergantung padanya. Saya tunjukkan beberapa kisah horor soal akun Google terkunci, dan akhirnya mereka memilih solusi kolaborasi kerja lain

    • Jika Anda mencoba upgrade dari Business Standard ke Business Plus, Google akan mengurangi penyimpanan Workspace dari 2TB per pengguna menjadi 0 byte selama hingga 24 jam saat proses upgrade
      Jawaban resmi dari dukungan adalah, “Kami sudah memeriksa dan melihat bahwa Anda telah di-upgrade dari Business Standard ke Business Plus sehingga penyimpanan ditampilkan sebagai 0 byte. Tidak perlu khawatir, ini sepenuhnya normal”
      Mereka juga mengatakan, “Saat langganan di-upgrade, sistem backend terlebih dahulu melepaskan alokasi penyimpanan Business Standard yang ada sebelum memprovisikan batas Business Plus yang baru, dan selama masa transisi ini kuota sementara disetel ke 0 secara default”
      Terakhir mereka menyuruh menyalakan batas penyimpanan pengguna atau batas penyimpanan shared drive lalu mematikannya lagi setelah 5 menit, tetapi upaya untuk mereset kuota penyimpanan lebih cepat itu gagal, dan pada akhirnya tetap butuh beberapa jam
    • Karena itu saya mulai merencanakan pemindahan semua domain yang saya kelola dari Gmail. Sebagai produk, Gmail sebenarnya tidak membaik, malah makin menjengkelkan sambil terus mencoba upsell hal-hal yang tidak saya inginkan dan tidak saya butuhkan
      Setiap tahun sedikit lebih buruk. Skala Gmail terlalu besar, sehingga bahkan jika Anda membayarnya, kecil sekali kemungkinan mendapat dukungan, dan risikonya terlalu besar untuk ditanggung
    • Saya penasaran apa maksud “mentok di proses pendaftaran”. Apakah itu masalah scan QR code lalu kirim pesan di artikel ini, atau masalah lain
    • Sejak 2013 saya cukup puas memakainya
      Hanya saja selama setahun terakhir saya mulai mendengar keluhan bahwa popup terkait AI yang tidak ingin dipakai para karyawan itu mengganggu
    • Saya penasaran Anda pakai apa sebagai gantinya. Memang rumput tetangga selalu tampak lebih hijau
      Meski begitu, tidak mengejutkan kalau Microsoft mungkin punya produk yang lebih buruk tetapi dukungannya lebih baik

  • Saya barusan mencoba sendiri alur pendaftarannya, dan QR code tidak diperlukan. Prosesnya persis sama seperti beberapa tahun terakhir
    Pilih pribadi/anak/bisnis, masukkan nama, pilih email, tanggal lahir, email pemulihan atau lewati, kata sandi, masukkan nomor telepon, verifikasi kode autentikasi dua langkah, selesai
    Saya membuat akun testregistrationflow@gmail.com dan sudah lupa kata sandinya, jadi anggap saja satu akun dibakar. Anda juga bisa mencoba testregistrationflow1@gmail.com untuk menguji apakah bisa tanpa QR code
    Judulnya jelas salah menggambarkan alur tertentu yang berlaku bagi orang yang mencoba membuat banyak akun Gmail secara terprogram

    • Kemungkinan besar persyaratan ini dipicu bergantung pada seberapa tepercaya Google menilai penggunanya. Faktor seperti memakai Linux, memakai Firefox, atau memakai VPN bisa berpengaruh
    • Jika nomor telepon yang dipakai untuk autentikasi dua langkah sudah berstatus “terlalu sering digunakan”, Anda bisa terhenti di tengah pendaftaran
      Tampaknya tidak ada batas yang terdokumentasi, dan satu-satunya solusi yang ditemukan orang hanyalah meminta orang lain membantu verifikasi dengan nomor telepon mereka
      Yang lebih sulit adalah ketika Anda sudah logout dari akun lama. Saat mencoba login, Anda diminta nomor telepon untuk autentikasi dua langkah, dan meski memasukkan nomor yang sama yang dulu dipakai saat verifikasi pendaftaran, tetap gagal karena nomor itu dianggap terlalu sering dipakai
      Akibatnya Anda tidak bisa login ke akun sah yang memang sudah ada. Tentu saja Anda seharusnya sudah menambahkan metode autentikasi dua langkah lain atau passkey, tetapi tetap sulit dipahami kenapa Anda tidak bisa verifikasi lagi dengan nomor yang dipakai pertama kali
      Selain itu, untuk autentikasi dua langkah verifikasi akun saat mendaftar layanan Google lain, Anda juga tidak bisa memakai nomor Google Voice
    • Mungkin lebih baik kembali ke sistem undangan asli saat Gmail pertama kali diluncurkan
      Jika tiap akun hanya dibatasi bisa mengundang sejumlah kecil akun baru, itu bisa menjadi salah satu cara mencegah penipu
    • Jika membuat akun melalui layanan Google di ponsel, nomor telepon bahkan tidak diperlukan
    • Hari ini saya menemui baik Google QR CAPTCHA maupun CAPTCHA tradisional. Tampaknya sedang digulirkan bertahap

  • Mengatakan “harus memindai QR code” itu seperti bilang untuk membuka pintu kereta Anda harus memindai QR code, sambil menghilangkan fakta bahwa syarat sebenarnya adalah menghubungkan ponsel ke informasi pembayaran untuk penagihan
    Yang diverifikasi Google di sini bukan kemampuan mengubah data matrix menjadi byte

  • Hal seperti ini tampak seperti perubahan “keamanan”, tetapi sekaligus juga terlihat sangat praktis untuk menghapus banyak alur kerja yang menjaga privasi

    • Saya rasa memang begitu. Pengawasan total hanya bisa berjalan jika orang dipaksa memakai kalung pelacak
      Langkah berikutnya mungkin menghubungkannya dengan mata uang digital bank sentral yang memerlukan nomor telepon untuk akses dompet, lalu mengikatnya ke identitas asli atau paspor untuk membatasi pergerakan
      Autentikasi dua langkah telah berubah menjadi pasak yang menghancurkan privasi
    • Ada layanan online yang menyediakan nomor telepon sementara untuk aktivasi akun demi mengakali persyaratan Google, tetapi kebanyakan hanya bisa menerima pesan
      Mengharuskan pengguna mengirim SMS tampak seperti cara yang bagus untuk menyingkirkan layanan semacam itu agar bot tidak bisa memakainya lagi
      Saya sendiri kurang paham apa arti alur yang menjaga privasi dalam akun Google. Google bisa melacak pengguna bahkan tanpa mengetahui nomor teleponnya