Хотите узнать насколько надежны пароли?
Спросите Джениффер Лоуренс!
Шутки шутками, а пароли уже действительно практически полностью морально устарели в качестве способа аутентификации в интернете. Более надежным способом являтся двухфакторная аутентификация, которая весьма непопулярна среди масс, но, тем не менее, она сущесвует. И теперь Google хочет сделать ее проще.
До недавнего времени процесс двухфакторной аутентификации от Google заключался в том, что вам на телефон (с подтвержденным заранее номером, естественно) приходил код, который вы вводили в специальное поле. Таким образом, вы подтверждали свою личность не только тем, что знаете соотвествие пароля логину, но и тем, что у вас на руках есть устройство, в котором встроена сим-карта с зарегистрированным номером.
Теперь же вместо процесса ввода ключа, присланного по смс, вы можете просто вставить USB-токен, который не только подвердит вашу личность, но и удостоверится, что вы передаете свои данные именно Google-сервису. Для этого было заключено партнерство с Security Key по использованию протокола U2F, подтвержденного Альянсом FIDO, являющегося открытым международным стандартом. Работать такая штука будет непосредственно с Chrome (38+), но в Google выразили надежду, что и остальные браузеры вскоре внедрят поддрежку U2F.
Так как не только сайт будет подтверждать, что логиниться пытаетесь именно вы, но и сам Security Key будет проверять, что сайт, который запрашивает ваши данные, имеет на это право, вы будете защищены от любого фишинга. Т.е. вы можете быть уверены, что вы не отдадите ваши данные кому-то, кто прикидывается сервисом Google.
Для успешной аутентификации вам не понадобятся ни батарейки, ни мобильная связь. Все что вам нужно – USB-донгл Security Key с поддержкой U2F. Google предоставляет возможность пользваться данной функцией абсолютно бесплатно, но вот сам донгл вам нужно будет купить. На amazon.com вы можете приобрасти такой примерно на $5-50. К слову, если вы используете только мобильные устройства, то пользоваться Security Key вам не рекомендуется, так как он требует полноценного USB-порта. Кстати, интересно, будет ли он работать через OTG.
Ранее различные токены и донглы использовались различными банками или организациями для двухфатороной аутентификации внутри компаний, но впервые подобная технолония будет внедряться в такой массовый и мейнстримный сервис как Gmail и иже с ним.
Так что если вас зовут Дженифер, и вы переживаете за какие-либо файлы, которые вы бы не хотели видеть утекшими в сеть и вызывающими кучу новостей по всему миру, а также если вы переживаете насчет различных форм фишинга, то Google на данным момент – ваш выбор. Конечно, если только ваш продюссер не придумал для вас грязную PR-кампанию, в результате которой ваше имя будет на слуху у доброй половины мира, еще и в контексте системы безопасности одной из крупнейших мировых IT-компаний.
В любом случае, отход от традиционной пары логин-пароль со стороны компаний масштаба Google – штука весьма правильная и отрадная. Вполне возможно, что мы с вами находимся в начале новой эры, а нашим детям мы будем рассказывать о паролях как о чем-то, что было во времена кассет, дискет и пятого айфона.
Источник: Google.
нуу и смысл?
идея выглядит как аналог hasp, только для почты
недостатки известны заранее – украсть брелок даже проще, чем телефон)
и не только украсть .. еще и потерять
А почему картинку удалили? И из статьи, и из вк?
Нет ни слова о том, когда приходится прибегать к 2FA. Очень многие её до конца не понимают, и им не ясно в каких ситуациях сервис просит дополнительно авторизоваться.
И забыли упомянуть про Google Authenticator, который тоже относится к 2F и не требует наличия GSM связи
Не проще было бы стыбзить систему у Blizzard?
Как то нет желания покупать брелок, который у меня могуть украсть в любой момент…
а что у близард есть?
Для подтверждения, что это именно вы, после ввода пароля, необходимо еще ввести код, который меняется каждые n секунд (например 20). Для этого необходимо купить либо спец-устройство (по типу данного ключа), которое будет отображать вам постоянно меняющийся код (только это устройство и сервер знают какой код в данный момент), либо скачать приложение на смартфон (что я и делал) и свзять его с аккаунтом близард. Все что умеет приложение — это отображать код, защита я так понял там серьезная, для отвзяки от аккаунта необходимо знать серийный номер, его возможно узнать только при установке (если не ошибаюсь), поэтому можно выписать в блокнотик и не боятся что при краже смартфона, аккаунт будет взломан.
Несмотря на то, что все выглядит запутанно, и необходимо еще и вводить больше информации но есть спокойствие за аккаунт. У гугловой технологии много непонятных мест.
Посмотрите вот это приложение:
Google Authenticator, Google, Inc.
https://appsto.re/ru/fdakx.i
Да что-то мне слабо верится в какую-то революцию от брелка. Это подходит для специальных задач, вроде корпоративных устройств, когда свисток висит на одном шнурке с пропуском в здание, например. Но для масс это вообще капец неудобная хрень
Да понятно, что пока эта штука не для масс. Но обкатка такой системы в таких масштабах – это как минимум впечатляет.
Как-то мне уж проще смс-ку получить и код ввести, если нуждаюсь в секюрности.
А вообще приватности в сети ждать не стоит, даже с сегодняшним “шумом” вокруг этой темы.
Мова йде за безпеку, а не за приватність. Мабуть краще, коли тебе голого бачить тільки Гугл, а не всь Інтернет, правда ж?
Якого скажіть мені біса виставляти себе голого кудись крім смартфону? І то на смартфоні берегти дивно….
То вже краще у Лоуренс запитати, не з моїх фото the fappening будувався :)