Думаю, не мне одному надоели пароли: их нужно запоминать, желательно, чтобы они были сложными и разными для каждого ресурса.
И как оказалось, я не единственный, кто так думает. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая избавит от необходимости вводить пароль при входе в аккаунт. Весь процесс аутентификации пользователя будет сводиться к тому, что последнему останется лишь нажать на кнопку «Да» на своем смартфоне, подтвердив тем самым собственную личность, и получить доступ к аккаунту.
Будучи человеком, немного знакомым с информационной безопасностью, я решил поделиться своим мнением по поводу этого решения.
Есть некоторые сомнения в его целесообразности и, главное, надежности.
Хотелось бы узнать мнение хабаровчан по этому поводу.
Обмен данными происходит по каналу GCM (Google Cloud Messaging).
На устройство пользователя отправляется уведомление, которое он должен принять для входа в свою учетную запись.
Если вам интересно узнать больше, вы можете прочитать здесь .
По словам Рохита Пола, который, собственно, и сообщил миру об этом нововведении, система работает по принципу двухфакторной аутентификации.
Пользователь должен сначала войти в свой смартфон (первый фактор), и только после этого он сможет принять уведомление от Goggle и войти в свою учетную запись (второй фактор).
Но я смею с этим не согласиться.
Ведь в этой схеме есть несколько «но»:
- Было бы ошибкой считать этот метод аутентификации двухфакторным, поскольку при нажатии на кнопку «Да» пользователь фактически подтверждает только один фактор – фактор владения телефоном.
Система не проверяет второй фактор (фактор знания пароля).
Двухфакторная аутентификация предполагает одновременное использование двух разных факторов — фактора знаний, а также второго фактора — владения или биометрии.
Ключевая идея 2FA заключается в том, что недостатки одного фактора компенсируются преимуществами другого.
- Если смартфон заблокирован, утерян или просто недоступен, то у пользователя остается возможность ввести привычные логин и пароль.
То есть второй фактор не является обязательным.
Что помешает злоумышленнику воспользоваться этой лазейкой и свести весь процесс к простому вводу пароля? А узнать пароль с помощью фишинга, социальной инженерии, перебора и т. д. Не большая проблема для хакера.
- На самом деле такое нововведение может существенно ухудшить ситуацию с защитой аккаунта, ведь у злоумышленника даже появится выбор – либо угадать пароль, либо запустить на смартфон вирус.
Вспомним статистику, которая утверждает, что 87% Android-смартфонов уязвимы, а также часто всплывают новости об уязвимостях iOS.
Возможно, такая схема подошла бы для упрощения процесса входа в систему, поскольку пользователю достаточно нажать всего одну кнопку.
Тогда я согласен, что это удобно и понравится большинству пользователей, ведь все люди ленивы по своей природе.
Но если вы ответственно подходите к вопросу защиты данных, то, на мой взгляд, лучше отказаться от этого способа аутентификации и использовать 2FA с одноразовыми паролями.
Сегодня существует множество бесплатных приложений для генерации одноразовых паролей.
Тот же Google Authenticator, или любые другие мобильные аутентификаторы, например, от Microsoft, Dell, ATSolution, Authentry или Protectimus. Я перепробовал почти все из них, но использую один из них, который имеет ряд дополнительных преимуществ перед Google Authenticator. Как их использовать для аутентификации в популярных социальных сетях.
О сетях и чем они хороши я расскажу в отдельной статье.
Теги: #аутентификация #аутентификация пользователя #Google #google аутентификатор #защита данных #двухфакторная аутентификация #2FA #информационная безопасность
-
Ливингстон, Дэвид
19 Oct, 24 -
Apple Патентует Управление Жестами
19 Oct, 24 -
Macos + Windows 10 На Внешнем Диске
19 Oct, 24 -
Мобильный Firefox Выйдет До Конца Месяца
19 Oct, 24 -
Первая Программа Для Борьбы С Плохим Seo
19 Oct, 24 -
Не Совсем It, Но Близко К Электротехнике
19 Oct, 24 -
Toyota Iq, Превращенный В Шрифт
19 Oct, 24
