Google тестирует «беспарольный» вход

    Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
    Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
    Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:

    Шаг 1. Запуск браузера и переход к форме аутентификации (кнопка Sign in):



    Шаг 2. Ввод адреса почты:



    Шаг 3. После нажатия Next, система просит выполнит подтверждение входа на телефоне (обратите внимание на fallback-опцию внизу страницы- Use your password instead):



    На телефоне (Рохит пользуется Android) всплывает Push notification:



    Шаг 4. После разблокирования телефона, задается вопрос на который надо положительно ответить:



    Шаг 5. И еще один уровень проверки, на экране входа (на основном устройстве) показывается число, которое надо выбрать на мобильном устройстве:



    Шаг 6. Вход в учетную запись успешно выполнен (наконец-то!):



    Вот такие вот новшества. Лично я ожидал более простого «беспарольного» входа, но учитывая то, что это фактически уже публичная бета (Рохит обычный пользователь) предлагаемый конечный продукт так и будет выглядеть. Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным- уж точно не проще старых добрых паролей.

    P.S. На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.

    UPDATE: Как передает портал AndroidPolice, Google официально подтвердил, что привлек к тестированию новой технологии небольшую группу пользователей:
    «We've invited a small group of users to help test a new way to sign in to their Google accounts, no password required. 'Pizza', 'password' and '123456'—your days are numbered,»
    Token2.com 20,30
    Компания
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Похожие публикации
    Комментарии 55
    • +6
      Так ведь можно войти в чужой аккаунт, пока владелец вышел и оставил телефон на столе, по крайней мере если телефон не запаролен. Или я упустил какую-то деталь?
      • +12
        Наличие PIN-кода на устройстве обязательно, это проверяется при активации.
        • –6
          Но ведь большинство телефонов запрашивает PIN только после перезагрузки, а в остальное время открывается просто свайпом или кнопкой. Это если специально не менять настройки на более безопасные.
          • +13
            речь не про пин симки, Google говорит про screen lock или Touch ID
            • +6
              Вы путаете PIN андроида с PINом сим карты.
              • +5
                Теперь понятно, спасибо. Андроидом не пользовался, так что был не в курсе.
            • +1
              Угу, только шанс срисовать PIN разблокировки просто по следам пальцев на экране заметно выше нулевого, к большому сожалению.
              • +1
                Да даже просто подсмотреть его сильно проще. Я вот знаю графические PIN'ы большинства своих коллег. Не специально узнавал, а просто несколько раз увидел и какие-то запомнились.
                • 0
                  «Покупайте телефоны с чтением отпечатков пальцев» — наверное к этому нас подталкивает гугл :-)

                  у меня кстати есть телефон со сканером отпечатков — но работает не очень надежно (например чуть влажные руки не читает, так же если покидать спиннинг пол дня — то кожа немного сотрется на пальцах — и тоже не читает)… правда возможно что это только у китайцев (телефон китайский) такая плохая реализация сканера, а на том же айфоне все наоборот работает на 5 с плюсом…
                  • 0
                    на том же айфоне все наоборот работает на 5 с плюсом
                    Возможно, ценой увеличения false positives (с точки зрения разблокирования)
            • +5
              Поменяли шило на более безопасное мыло.
              • +6
                Странно… если двухфакторная аутентификация подразумевает ввода постоянного пароля (аккаунт) и временного (смс код), то здесь для направленной атаки нужно было потрудится узнать пароль от аккаунта жертвы и каким-то образом получить контроль над его телефоном для того, чтобы перехватить сообщение. А сейчас достаточно только «обработать» телефон. Разве это не упростит задачу для злоумышленников?
                • +22
                  Лично мне проще ввести пароль, чем тянуться за телефоном.
                  • +3
                    у меня так вообще смартфона нет
                    • +1
                      Очень мило — прокинул аутентификацию на Pebble — настроил на подтверждение по вращению запястьем — шикарно!
                      • 0
                        А как там c PIN-кодом? Это приложение требует наличие «screen lock»
                        • 0
                          Такие вещи, например в приложении Outlook обходились кастомной надстройкой.
                        • 0
                          А можно по подробнее? Что за софтина?
                          • 0
                            Вы думаете, что комментатор попал в эту небольшую группу тестирования, сделал reverse engineering механизма на телефоне и успел написать приложение для pebble? :)
                      • 0
                        А что за приложение используется на телефоне? Что-то родное-встроенное-андроидное, или его еще установить надо?
                        • 0
                          Похоже что что-то встроенное, необходимость установить какое либо приложение нигде не упоминается
                          • 0
                            Скорее всего это приложение будет встроено в Google Play Сервисы. Там много всего есть и для многого используется.
                            • 0
                              Скорее всего это лаунчер Google / Google Now
                            • +1
                              Нечто подобное есть у Теле2 — авторизация в личном кабинете с помощью ввода числа в USSD запрос. Очень удобно.
                              • +8
                                Вместо двухфакторной авторизации 0 факторная. Ну нет уж, гугл, спасибо.
                                • –1
                                  Интересно… Буквально неделю назад обновилось мобильное приложение Приват24 и теперь вместо кода из СМС, для подтверждения входа, нужно просто нажать в приложении одну кнопочку. Правда, ввод номера телефона и пароля на сайте никто не отменял.
                                  • 0
                                    У Промсвязьбанка тоже так с недавнего времени. Бонусом все информирование тоже приходит в виде push-уведомлений, а не в виде SMS.
                                    • 0
                                      Ага. Сначала было обрадовался, а потом пришлось отключить. Программа финансового учёта которой я пользуюсь умеет парсить смс от банков и автоматически учитывать транзакции. А с push обламалось…
                                  • 0
                                    Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным

                                    По-моему, все очевидно. Гугл будет больше знать о нас. Какими компьютерами мы пользуемся, где они находятся. На десктопах многие отключают геолокацию, и Гугл это беспокоит. А в телефоне не отключают, слишком много плюшек теряется. А еще Гуглу интересно, в каких случаях мы пользуемся десктопом для почты и прочего, хотя телефон под рукой и пароль вводить не надо.
                                    • +2
                                      Он как бы и так видит вход с десктопа. А смартфон хранит историю вашего перемещения. Соотнести два таймстампа как бы несложно в любом случае.
                                    • +1
                                      Очевидно же что это для умных часов примочка
                                      • +2
                                        А вот потерял я свой телефон. И хочу удалённо заблочить/удалить всё на нём. Но для этого нужно войти в аккаунт. А телефона нет. Можно войти в аккаунт с помощью старого доброго пароля? Тогда как же прощай 'password' и '123456'?
                                        • 0
                                          Наверняка можно будет войти с помощью пароля. Данный механизм, как мне кажется, сделан для защиты от некоторого класса троянов.
                                          • +2
                                            обратите внимание на fallback-опцию внизу страницы- Use your password instead
                                            • 0
                                              Обратите внимание, я не сказал, что невозможно ввести пароль. Я сказал, что невозможно отказаться от парольной аутентификации. И раз невозможно отказаться, то фраза «пароли типа 'пароль' и '123456' — ваши дни сочтены» чисто маркетоидная. Да, предложен новый способ аутентификации (возможно удобный), но при этом возможность вводить пароль никуда не делась (и не видно способов как этого избежать в случае утери телефона). Так что вопросов с безопасностью от этого новоизобретения не убавилось (возможно и прибавилось).
                                              • 0
                                                Совершенно не вижу проблемы, этот способ не заменяет парольную аутентификацию, а лишь дополняет ее.
                                                • +1
                                                  Ещё раз, в исходном тексте есть фраза: 'Pizza', 'password' and '123456'—your days are numbered. Что намекает нам на решение проблемы «слабых» паролей. Однако никакого решения этой проблемы нововведение не предлагает. Поэтому я и говорю, что этот пассаж, намекающий на усиление безопасности, маркетоидная шелуха.
                                                  • 0
                                                    Тут все просто, Если пользователю не нужно будет каждый раз вводить пароль, то он поставит большой и надежный, будет заходить по телефону, а в случае нужды поменяет на другой. Я считаю, что наоборот, они хорошо продумали момент с человеческой ленью, поэтому это хороший и востребованный вариант
                                                    • 0
                                                      Тут не всё просто. По исследованиям, во время придумывания пароля пользователи думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Я думаю, что «слабые» пароли используют не только и не столько потому, что лень вводить «сильные» пароли, а в том что «сильный» пароль нелегко запомнить. А запоминать (или где-то хранить) его всё равно надо.

                                                      И в очередной раз: я никоим образом не оцениваю «хорошесть» и «востребованность» новоизобретённой аутентификации. Я всего лишь говорю, что пассаж о том, что безопасность улучшится — неверен.
                                                      • 0
                                                        Это уже проблемы людей. Вы прям хотите, чтобы за вас все делали. Сознательные люди оценят удобство и поставят себе более надежные пароли, если им не придеться каждый раз вводить пароль. По сути это некоторая замена LastPass и прочих менеджеров паролей. Особенно если нужно проверить почту в кафешке
                                                        • 0
                                                          Сознательные люди и сейчас не используют pizza и 1234567
                                          • 0
                                            Какая-то жесть в текущем виде. Телефон обычно блокируется не сразу, а по истечению какого-то времени, если у пользователя AndroidWear то телефон в достаточно большом от него радиусе не будет блокировать, если включён режим on body detection (или как он там называется) то украденный рюкзак даст разблокированный телефон/планшет. Да и в целом задача получить не заблокированый телефон проще чем получить пароль от учётки. Какая-то очень странная система защиты.
                                            • 0
                                              Но ведь атакующий не получает пароль от учетки, в случае кражи пароля. Пароль от почты то нигде не светится.
                                              • 0
                                                Ну да, это снимет угрозу утери пароля но речь же о безопасности данных в целом. Получив доступ до почты даже на короткое время можно например сменить пароли на подавляющем большинстве сервисов на многих из которых могут быть привязаны например банковские карты.
                                                • 0
                                                  Ну это понятно, однако речь в статье именно про безпарольную авторизацию. А что мешает, например, заполучив телефон человека — просто открыть почту оттуда? Ведь там тоже почта, там тоже пароли и возможность сбросов паролей сервисов итд.
                                                  О боже мой! Я только-что нашел еще одну брешь в безопасности гугла (только гугл тут не причем, это с любым почтовиком прокатит)!

                                                  Всегда, если есть физический доступ к чему-то, то атака становится совсем другого плана. Злоумышленник тупо может заменить вам телефон на свой точно-такойже с записью пинкода, или установить на ваш телефон небольшую прогу-шпиона, которая выглядит как обычная. Да много чего может быть, если есть физический доступ, но гугл решает не эту проблему, а совсем другую — надежность паролей, вирусы и трояны, которые могут сидеть на компе жертвы и записывать пароли(например в каких-нибудь интернет-кафе) итд.
                                              • 0
                                                Я так думаю, что цель всего этого — защита от троянов на компьютере, а не от воров.
                                                По поводу Android Wear. Во-первых Android смартфонов в мире было продано в 2014 году около 1 миллиарда, а Android Wear — от 1 до 5 миллионов. Какова вероятность, что у жертвы будет Android Wear :)? Во-вторых все функции отключения блокировки, когда часы рядом или когда девайс на теле, опциональны. Вероятность указанных вами событий стремится к нулю.
                                                • 0
                                                  Вероятность подсмотреть простенький графический код стремится к нулю?
                                                  В разделе SmartLock есть пяток опций которые как раз уменьшают количество случаев ввода пароля или PIN'а (конечно у меня нет статистики как часто люди включают эти функции).

                                                  В любом случае дело не в этом. Получить доступ к незаблокированному телефону неизмеримо проще чем узнать пароль.

                                                  P.S. Судя по апдейту в топике цель этого уменьшить количество простых паролей. Но мне кажется даже простой пароль надёжнее такого способа. Во всяком случае в нынешней реализации.
                                              • 0
                                                Т.е. атакующему достаточно подсмотреть четыре (обычно) цифры пин-кода на экране телефона и дождаться когда владелец свалит в туалет?
                                                • 0
                                                  Хватит писать бред про подсмотренный пин код у соседа. У меня лично на смарте тот же gmail и совершенно без пароля, и если злоумышленнику нужно будет посмотреть письма и у него будет телефон — то десктопная версия ему не нужна. Тут как в поговорке — «Проблемы индейцев шерифа не волнуют»
                                                  • 0
                                                    Приложение онлайн-банкинга от Приватбанка как раз принесло такую же штуку с последним обновлением.
                                                    • 0
                                                      Тестировщику за такое могут дать по голове. Думаю его больше не позовут что-то тестировать.

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое