Редактор Habrahabr, Geektimes
43,2
рейтинг
22 октября 2014 в 11:34

Разработка → Gmail добавил возможность аутентификации пользователя с Security Key



Если вы используете двухфакторную аутентификацию на своем аккаунте Google, то теперь есть возможность упростить задачу входа в Gmail аккаунт. На днях разработчики добавили поддержку хардварного ключа безопасности, Security Key.

Этот девайс может заменить собой 6-значный код подтверждения, вводимый на втором шаге двухфакторной аутентификации. Пароли первого шага остаются, так что злоумышленник, заполучивший чей-нибудь Security Key, не сможет зайти в аккаунт без ввода логина/пароля.

Собственно, многие небольшие сервисы, в основном, платежные, используют возможность аутентификации при помощи ключа-гаджета, но сейчас это первая попытка популярнейшего сервиса типа Gmail добавить аналогичную функциональность.

Что касается самого Security Key, достать такое устройство не очень сложно: многие производители создают совместимые девайсы, цена которых колеблется от 6 до 50 долларов США. Покупка не будет напрасной, поскольку сейчас такие сервисы, как PayPal, Samsung и Alibaba планируют ввести или уже ввели подобную схему аутентификации.

Стоит отметить, что Security Key основан на открытых стандартах, так что аналогичная архитектура может бы использована в беспроводных токенах, Bluetooth или NFC.

Как бы там ни было, Google и другие компании сейчас уходят от стандарта аутентификации при помощи пары логин/пароль, постепенно делая аккаунты пользователей все более защищенными.

Via theverge
marks @marks
карма
170,2
рейтинг 43,2
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (43)

  • –11
    Офтоп, но только у меня на данный момент не работает контактная книга Gmail?
    • –4
      Аналогично)
    • +8
      Есть проблема. Но это действительно оффтоп :)
  • +9
    Полез искать на ebay, обнаружил среди прочего механический кодовый замок, надевающийся на usb-разъем флэшки. Проникся…
  • +1
    Собственно, а где достать-то такой ключ?
      • +1
        Спасибо.
        Я правильно думаю, что если ключ "основан на открытых стандартах", то скоро китайцы подтянутся с бросовыми ценами?
    • 0
      Я уже купила для экспериментов.
      На сайте yubico.com

      Доставка крайне дорогая за пределы США/Канады — 65 баксов. :(
      И судя по предложениям, они специально разработали версию ключа для аккаунтов Гугла.
      • 0
        Пару лет назад заказывал.
        Почтой России вообще бесплатно доставка была (или совсем за копейки какие-то).
        • 0
          О! Я бы с радостью, но на сайте произовдителя только DHL Express.
          Вот сижу смотрю в трекере как сие чудо в самолёте из Лондона летит, нужно же хоть как-то объяснять самой себе за что я 65 баксов заплатила)
          • 0
            Зависит от места назначения, на самом деле. Да, DHL где то так и берет.
  • +1
    что-то в посте не упомянули:
    «Для использования аппаратного токена вам понадобится компьютер с установленным на нем браузером Google Chrome (версия 38 или более поздняя) на платформе Chrome OS, Windows, Mac OS или Linux.»


    С YubiKey совместимо без установки доп софта?
  • 0
    Интересно, а как реализовать поддержку Security Key в своем проекте?
  • 0
    было бы здорово иметь возможность подключить еще и аппаратный TOTP токен (без USB)
  • 0
    Вот статистика за 20 лет пользованием аккаунтами на GMAIL и MAIL.ru (а я как айтишник пользуюсь ими очень часто) ни разу не взломали мой аккаунт.
    99,9% взломов этих сервисов происходит по вине пользователя, они как правило сами отдают пароль или вирус его ворует.
    Так что я скажу, что данный ключ это всего лишь временное решение, как только он будет пользоваться массово, сразу же найдут как его у пользователя позаимствовать. Тут не ключи надо использовать, а повышать пользовательский уровень знаний (как мягко то выразился).

    ЗЫ: народ пошел проверять/тестить мою почту, Господи, ктонить(из добрых) поплюсуйте, а то надоело раз в час писать.
    • +5
      Да, на фишинговых сайтах будут просит отправить токен куда-нибудь в Уганду.
    • 0
      Так в этом и смысл двухфакторной авторизации, что даже зная пароль не войдешь в аккаунт. А этот физический ключ можно отобрать только физически у человека.
      • –1
        Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)
        Мое мнение — мертвая тема эти ключи. Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
        Все остальное излишне и обладает теме же фишинговыми проблемами.
        • +2
          Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)
          Бред. Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы. А если у вас уже есть ключ — то зачем его эмулировать?

          Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
          Телефон/SMS как раз менее надёжны: один троян — и плакали ваши денежки… то есть письма.
          • 0
            А если у вас уже есть ключ — то зачем его эмулировать?

            А мне надо много, чтобы на всех компах компании работало. Сталкивался с такой проблемой — реально эмулировали в каком-то из филиалов, пока степень защиты не повысили.
          • 0
            Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы.

            Так обходили лицензионную защиту софта: ключ есть, но он один, а надо много. А много покупать не хочется.
            • +2
              При эти истории я знаю. Какое отношение это всё имеет к обсуждаемой ситуации и моему вопросу? В тамошних условиях люди, имея один ключа сами, добровольно делали копии. Имея на руках оригинал, заметьте. Или меняли программу.

              Тут же программа расположена на серверах Гугла, а ключ — у законного владельца.

              Злоумышленнику нужно сделать эмуляцию ключа не меняя программу (если он внедрился в Гугл и может поменять код, то ему уже никакие ключи не нужны) и не имея его при этом в руках(если уж он до него добрался — так можно сразу всю почту забрать/деньги перевести, зачем тут чего-то эмулировать?), так причём тут HASP?
              • 0
                Какое отношение это всё имеет к обсуждаемой ситуации и моему вопросу?

                Никакое. Тут (вы верно сказали) — ключ есть. Я просто уточнил момент.
        • 0
          А помните недавний случай со сбером и мегафоном, как у человека увели номер телефона?
    • +1
      А вот вам факт.
      У меня есть 9 ящиков на gmail, в одну прекрасную ночь была осуществлена попытка подбора паролей к ним ко всем, о чем гугл мне прислал письма. Все бы хорошо. НО. Один из этих ящиков использовался ровно ОДИН раз при отправке запроса в управление делами президента РФ и соответственно знать его могли только там, а еще парочка использовалась по одному разу при регистрации в MMORPG и знать их могли только в одной российской конторе которая контролирует эти игры. Для того, что бы попробовать подобрать пароли к 9 ящикам сразу нужно было знать, что эти ящики мои. И, да, угадать или подобрать их было невозможно, ибо для игр ящики были генерены pwgenом(и имели условно говоря вид uPh4paiz9ahquein@gmail.com).
      То есть подбор был осуществлен централизовано и понятно на кого стоит смотреть.
      Так что данный ключ — верное решение, ведь учитывая куда показывает след смску от двухфакторки можно и перехватить, а вот за ключом придется приходить ко мне лично с паяльником.
      • 0
        Токен же высылает не лично гугл, а привязывается самим пользователем. Плюс, должна же быть процедура восстановления на случай утраты токена и отсутствия его бэкапа.
  • 0
    И чем это лучше OTP-приложения?
    • 0
      Проще в использовании. В нужный момент (когда браузер просит) нажимаете на «кнопку», которая из USB-порта выступает на пару миллиметров — и всё.

      С OTP-приложением всё хуже: либо вы его ставите на ту же систему, что и браузер (и тогда безопасность никакая: троян может точно так же у него OTP «спросить»), либо вы перебиваете его ручками, что сложнее использовать.
      • 0
        Там в общем-то всего милиметр, причём фиг вытащишь голыми руками.
        У тех же Yubico есть usb-otp, которые работают как клавиатура, гораздо удобнее чем брелок.
      • 0
        Что значит перебиваете ручками? Сервер генерирует QR код, вы его сканируете приложением, и все.
        Для параноиков можно написать собственную реализацию (я так делал QML/C++ под Symbian)
    • 0
      Тем что у меня к примеру месяц не проходят коды. Приходится по sms запрашивать допуск. Танцы с бубном как советуют проверить синхронность времени не помогают.
  • +2
    Мне вот этот ключ понравился — стоит $6 и напечатан на картоне. Чтобы получить нормальную толщину USB разъема, нужно картонку вдвое складывать.

    image
    • 0
      На картоне, как-то не надежно, для такой штуки, не находите?
      Отсыреет или порвется, бумажный же…
  • 0
    А просветите — что происходит если ключ теряется или я его забываю дома при поездке в командировку?
    • +1
      Для этого случая Гугл предлагает распечатать пачку резервных кодов подтверждения.
      Предполагается, что в случае утери ключа/телефона вы достаете листочек с кодами из сейфа, входите в аккаунт и выключаете двухфакторную авторизацию до тех пор, пока не восстановите свое устройство.

      В случае командировки можно позвонить близким и попросить продиктовать этот код.
      • 0
        Понятно — если забыл листок и близким ты звонишь через google же или близкие уже спят т.к. в их часовой зоне 4 ночи — ты попал.
        Вариант с телефоном был бы хорош на самом деле. Но в общем стремно как-то
        • 0
          Никто не отменяет же вроде варианта с телефоном, там у них внизу ссылка которая переключает на авторизацию кодом с телефона или еще дальше с листка.
          • 0
            Это многое меняет :-)
  • 0
    А если он сдохнет? Зная техпод гугля, то правды от него не дождешься.
    • 0
      SMS на телефон с одноразовым кодом.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.