17 июля 2017

Google решил отказаться от SMS для аутентификации

Поскольку подтверждения по SMS официально признаны небезопасным методом аутентификации пользователя, Google решил отказаться от этого устаревшего и полностью скомпрометированного метода, заменив его более современным.

Теперь, всем пользователям, кто так и не купил ключи безопасности для реальной защиты своего аккаунта, но при этом включил двухфакторную аутентификацию в Google аккаунте (соответственно с подтверждением по SMS), от Google придёт сообщение, предлагающее перейти на новый метод аутентификации по защищённым уведомлениям.

При согласии пользователя на использование нового метода аутентификации, после ввода логина и пароля, ему вместо SMS на мобильный телефон придёт оповещение, которое передаётся по защищённому протоколу HTTPS, вместо почти открытого протокола передачи SMS сотовых операторов связи.


В появившемся на экране мобильного телефона сообщении, будет указано устройство, место и IP адрес, откуда осуществляется попытка входа.

Пользователю теперь не нужно вбивать шесть цифр кода в окно подтверждения на сайте, а достаточно нажать одну кнопку "Yes", чтобы осуществить вход, либо кнопку "Это не я", чтобы заблокировать попытку входа от неизвестного лица. 

Данный метод существенно более защищён от взлома, чем SMS подтверждения, однако имеет один существенный недостаток, а именно, при утере смартфона пользователь не сможет войти в свой аккаунт с использованием этого фактора. Ввиду того, что и альтернативный второй фактор в виде программного генератора ключей OTP в приложении Google Authenticator, большинство пользователей настраивают на том же смартфоне, утрата смартфона в такой конфигурации "для ленивых" может привести к полной невозможности попасть в свой аккаунт никаким способом (подтверждение по почте будет недоступно ввиду невозможности залогиниться в свой аккаунт, а подтверждение по телефону недоступно из-за утраты самого смартфона).

В общем, если не хотите оказаться у разбитого корыта, то либо настраиваете разные факторы на разных физических устройствах (требуется ещё один работающий смартфон или планшет, пусть даже и без SIM карты). При этом, одно из устройств следует хранить в недоступном месте (в сейфе). Однако лучше всё-таки не полениться и купить, а затем настроить, два ключа безопасности (что обойдётся дешевле чем покупка второго смартфона, и будет гораздо надёжней) и оставляем один из ключей в недоступном месте, аналогично рекомендацием, изложенным в этом видео: https://youtu.be/gvf7F4mOBEc


Отправить комментарий