Pokud vyjdeme z principu „všechno nebo nic“, tak potom ano. Svého času (snad ještě před rokem) v Google Play ostatně ani žádná ochrana heslem nebyla. A dvoufaktorovou autentizaci taky Google asi nemá odjakživa.
Pokud bychom to dohnali do extrému, tak není potom ani potřeba hashovat hesla, protože útočník nemá mít přístup k databázi, můžeme (za jistých podmínek) všechno spouštět pod rootem, protože útočník nemá mít možnost udělat RCE, a mohli bychom takto považovat za OK mnoho dalších věcí.
Pokud ale se snažíme o defense in depth, mělo by nás to zajímat. Nákup mě osobně až tak neznepokojuje (další – nikoli však poslední – v linii obrany je samozřejmě nízký limit na platební kartě na nákupy na internetu), ale možnost instalovat aplikace na jiné zařízení už ano.
Změna hesla – to záleží. Asi by stálo za to prozkoumat, jaké možnosti Google nabízí na reset. Ale v kontextu Androidu není nutně pravda, že ten člověk má přístup k mému telefonnímu číslu – pokud má můj tablet, tak přístup k mému telefonnímu číslu rozhodně nemá. (Teda k číslu ještě jo – může ho zjistit. Ale nemá možnost přijímat/odesílat SMS a hovory apod.)
Problém s dvoufaktorovou autentizací navíc znamenal, že 2FA snižovala v některých ohledech bezpečnost. Při úniku klasického hesla ho prostě změním a mám do jisté míry pokoj. Pokud ale uniklo application-specific password, mohl ho někdo celkem nenápadně naklonovat. Naštěstí to již opravili. |