Gmail добавил возможность аутентификации пользователя с Security Key



    Если вы используете двухфакторную аутентификацию на своем аккаунте Google, то теперь есть возможность упростить задачу входа в Gmail аккаунт. На днях разработчики добавили поддержку хардварного ключа безопасности, Security Key.

    Этот девайс может заменить собой 6-значный код подтверждения, вводимый на втором шаге двухфакторной аутентификации. Пароли первого шага остаются, так что злоумышленник, заполучивший чей-нибудь Security Key, не сможет зайти в аккаунт без ввода логина/пароля.

    Собственно, многие небольшие сервисы, в основном, платежные, используют возможность аутентификации при помощи ключа-гаджета, но сейчас это первая попытка популярнейшего сервиса типа Gmail добавить аналогичную функциональность.

    Что касается самого Security Key, достать такое устройство не очень сложно: многие производители создают совместимые девайсы, цена которых колеблется от 6 до 50 долларов США. Покупка не будет напрасной, поскольку сейчас такие сервисы, как PayPal, Samsung и Alibaba планируют ввести или уже ввели подобную схему аутентификации.

    Стоит отметить, что Security Key основан на открытых стандартах, так что аналогичная архитектура может бы использована в беспроводных токенах, Bluetooth или NFC.

    Как бы там ни было, Google и другие компании сейчас уходят от стандарта аутентификации при помощи пары логин/пароль, постепенно делая аккаунты пользователей все более защищенными.

    Via theverge
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 43
    • –11
      Офтоп, но только у меня на данный момент не работает контактная книга Gmail?
      • –4
        Аналогично)
        • +8
          Есть проблема. Но это действительно оффтоп :)
        • +9
          Полез искать на ebay, обнаружил среди прочего механический кодовый замок, надевающийся на usb-разъем флэшки. Проникся…
          • +1
            Собственно, а где достать-то такой ключ?
              • +1
                Спасибо.
                Я правильно думаю, что если ключ "основан на открытых стандартах", то скоро китайцы подтянутся с бросовыми ценами?
              • 0
                Я уже купила для экспериментов.
                На сайте yubico.com

                Доставка крайне дорогая за пределы США/Канады — 65 баксов. :(
                И судя по предложениям, они специально разработали версию ключа для аккаунтов Гугла.
                • 0
                  Пару лет назад заказывал.
                  Почтой России вообще бесплатно доставка была (или совсем за копейки какие-то).
                  • 0
                    О! Я бы с радостью, но на сайте произовдителя только DHL Express.
                    Вот сижу смотрю в трекере как сие чудо в самолёте из Лондона летит, нужно же хоть как-то объяснять самой себе за что я 65 баксов заплатила)
                    • 0
                      Зависит от места назначения, на самом деле. Да, DHL где то так и берет.
              • +1
                что-то в посте не упомянули:
                «Для использования аппаратного токена вам понадобится компьютер с установленным на нем браузером Google Chrome (версия 38 или более поздняя) на платформе Chrome OS, Windows, Mac OS или Linux.»


                С YubiKey совместимо без установки доп софта?
              • 0
                Интересно, а как реализовать поддержку Security Key в своем проекте?
              • 0
                было бы здорово иметь возможность подключить еще и аппаратный TOTP токен (без USB)
                • 0
                  Вот статистика за 20 лет пользованием аккаунтами на GMAIL и MAIL.ru (а я как айтишник пользуюсь ими очень часто) ни разу не взломали мой аккаунт.
                  99,9% взломов этих сервисов происходит по вине пользователя, они как правило сами отдают пароль или вирус его ворует.
                  Так что я скажу, что данный ключ это всего лишь временное решение, как только он будет пользоваться массово, сразу же найдут как его у пользователя позаимствовать. Тут не ключи надо использовать, а повышать пользовательский уровень знаний (как мягко то выразился).

                  ЗЫ: народ пошел проверять/тестить мою почту, Господи, ктонить(из добрых) поплюсуйте, а то надоело раз в час писать.
                  • +5
                    Да, на фишинговых сайтах будут просит отправить токен куда-нибудь в Уганду.
                    • 0
                      Так в этом и смысл двухфакторной авторизации, что даже зная пароль не войдешь в аккаунт. А этот физический ключ можно отобрать только физически у человека.
                      • –1
                        Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)
                        Мое мнение — мертвая тема эти ключи. Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
                        Все остальное излишне и обладает теме же фишинговыми проблемами.
                        • +2
                          Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)
                          Бред. Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы. А если у вас уже есть ключ — то зачем его эмулировать?

                          Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
                          Телефон/SMS как раз менее надёжны: один троян — и плакали ваши денежки… то есть письма.
                          • 0
                            А если у вас уже есть ключ — то зачем его эмулировать?

                            А мне надо много, чтобы на всех компах компании работало. Сталкивался с такой проблемой — реально эмулировали в каком-то из филиалов, пока степень защиты не повысили.
                            • 0
                              Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы.

                              Так обходили лицензионную защиту софта: ключ есть, но он один, а надо много. А много покупать не хочется.
                              • +2
                                При эти истории я знаю. Какое отношение это всё имеет к обсуждаемой ситуации и моему вопросу? В тамошних условиях люди, имея один ключа сами, добровольно делали копии. Имея на руках оригинал, заметьте. Или меняли программу.

                                Тут же программа расположена на серверах Гугла, а ключ — у законного владельца.

                                Злоумышленнику нужно сделать эмуляцию ключа не меняя программу (если он внедрился в Гугл и может поменять код, то ему уже никакие ключи не нужны) и не имея его при этом в руках(если уж он до него добрался — так можно сразу всю почту забрать/деньги перевести, зачем тут чего-то эмулировать?), так причём тут HASP?
                                • 0
                                  Какое отношение это всё имеет к обсуждаемой ситуации и моему вопросу?

                                  Никакое. Тут (вы верно сказали) — ключ есть. Я просто уточнил момент.
                            • 0
                              А помните недавний случай со сбером и мегафоном, как у человека увели номер телефона?
                          • +1
                            А вот вам факт.
                            У меня есть 9 ящиков на gmail, в одну прекрасную ночь была осуществлена попытка подбора паролей к ним ко всем, о чем гугл мне прислал письма. Все бы хорошо. НО. Один из этих ящиков использовался ровно ОДИН раз при отправке запроса в управление делами президента РФ и соответственно знать его могли только там, а еще парочка использовалась по одному разу при регистрации в MMORPG и знать их могли только в одной российской конторе которая контролирует эти игры. Для того, что бы попробовать подобрать пароли к 9 ящикам сразу нужно было знать, что эти ящики мои. И, да, угадать или подобрать их было невозможно, ибо для игр ящики были генерены pwgenом(и имели условно говоря вид uPh4paiz9ahquein@gmail.com).
                            То есть подбор был осуществлен централизовано и понятно на кого стоит смотреть.
                            Так что данный ключ — верное решение, ведь учитывая куда показывает след смску от двухфакторки можно и перехватить, а вот за ключом придется приходить ко мне лично с паяльником.
                            • 0
                              Токен же высылает не лично гугл, а привязывается самим пользователем. Плюс, должна же быть процедура восстановления на случай утраты токена и отсутствия его бэкапа.
                          • 0
                            И чем это лучше OTP-приложения?
                            • 0
                              Проще в использовании. В нужный момент (когда браузер просит) нажимаете на «кнопку», которая из USB-порта выступает на пару миллиметров — и всё.

                              С OTP-приложением всё хуже: либо вы его ставите на ту же систему, что и браузер (и тогда безопасность никакая: троян может точно так же у него OTP «спросить»), либо вы перебиваете его ручками, что сложнее использовать.
                              • 0
                                Там в общем-то всего милиметр, причём фиг вытащишь голыми руками.
                                У тех же Yubico есть usb-otp, которые работают как клавиатура, гораздо удобнее чем брелок.
                                • 0
                                  Что значит перебиваете ручками? Сервер генерирует QR код, вы его сканируете приложением, и все.
                                  Для параноиков можно написать собственную реализацию (я так делал QML/C++ под Symbian)
                                • 0
                                  Тем что у меня к примеру месяц не проходят коды. Приходится по sms запрашивать допуск. Танцы с бубном как советуют проверить синхронность времени не помогают.
                                • +2
                                  Мне вот этот ключ понравился — стоит $6 и напечатан на картоне. Чтобы получить нормальную толщину USB разъема, нужно картонку вдвое складывать.

                                  image
                                  • 0
                                    На картоне, как-то не надежно, для такой штуки, не находите?
                                    Отсыреет или порвется, бумажный же…
                                  • 0
                                    А просветите — что происходит если ключ теряется или я его забываю дома при поездке в командировку?
                                    • +1
                                      Для этого случая Гугл предлагает распечатать пачку резервных кодов подтверждения.
                                      Предполагается, что в случае утери ключа/телефона вы достаете листочек с кодами из сейфа, входите в аккаунт и выключаете двухфакторную авторизацию до тех пор, пока не восстановите свое устройство.

                                      В случае командировки можно позвонить близким и попросить продиктовать этот код.
                                      • 0
                                        Понятно — если забыл листок и близким ты звонишь через google же или близкие уже спят т.к. в их часовой зоне 4 ночи — ты попал.
                                        Вариант с телефоном был бы хорош на самом деле. Но в общем стремно как-то
                                        • 0
                                          Никто не отменяет же вроде варианта с телефоном, там у них внизу ссылка которая переключает на авторизацию кодом с телефона или еще дальше с листка.
                                  • 0
                                    А если он сдохнет? Зная техпод гугля, то правды от него не дождешься.
                                    • 0
                                      SMS на телефон с одноразовым кодом.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.