Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.
Обмен данными происходит по каналу GCM (Google Cloud Messaging). На девайс пользователя отправляется уведомление, которое нужно принять для входа в свою учетную запись. Кому интересно узнать больше, можно почитать тут.
По словам Рохита Пола, который, собственно, и известил мир об этом нововведении, система работает по принципу двухфакторной аутентификации. Сначала пользователь должен авторизоваться на своем смартфоне (первый фактор), и только после этого он сможет принять уведомление от Goggle и войти в аккаунт (второй фактор).
Но я осмелюсь с этим не согласиться. Ведь есть в этой схеме и несколько «но»:
- Считать такой способ аутентификации двухфакторным было бы ошибкой, ведь при нажатии на кнопку «Yes» пользователь подтверждает на самом деле лишь один фактор – фактор владения телефоном. Второй фактор (фактор знания пароля) система не проверяет. Двухфакторная аутентфикация подразумевает использование одновременно двух разных факторов – фактора знания, а также второго фактора, владения или биометрии. Ключевая идея 2FA заключается в том, что недостатки одного фактора перекрываются преимуществами другого.
- Если смартфон заблокирован, потерян, или просто недоступен, то у пользователя остается возможность ввести обычный логин и пароль. То есть второй фактор не является обязательным. Что же помешает злоумышленнику воспользоваться этой лазейкой и свести весь процесс к простому вводу пароля? А уже узнать пароль с помощью фишинга, социальной инженерии, брутфорса и т.д. для хакера не большая проблема.
- На самом деле такое нововведение может значительно ухудшить ситуацию с защитой аккаунтов, ведь у злоумышленника даже появиться выбор – или подобрать пароль, или запустить вирус на смартфон. Вспоминаем статистику, которая утверждает, что 87% смартфонов на Android уязвимы, да и новости об уязвимостях iOS проскакивают нередко.
Новая система аутентификации с передачей сигнала по каналу GCM, тестируемая Google, явно не создана для того, чтобы усилить защиту данных пользователя. Возможно, такая схема подойдет для упрощения процесса входа в систему, ведь пользователю нужно нажать только одну кнопку. Тогда соглашусь, это удобно и понравится большинству юзеров, ведь все люди ленивы по своей натуре.
Но если ответственно относиться к вопросу защиты данных, то, по моему мнению, от подобного способа аутентификации лучше отказаться и использовать 2FA с одноразовыми паролями. Сегодня для генерации одноразовых паролей есть множество бесплатных приложений. Тот же Google Authenticator, или любые другие мобильные аутентификаторы, например, от Microsoft, Dell, ATSolution, Authentry или Protectimus. Я попробовал их почти все, но использую один из них, который имеет ряд дополнительных преимуществ по сравнению с Аутентификатором от Гугл. Как их использовать для аутентификации в популярных соц. сетях и чем они хороши я расскажу в отдельной статье.
Комментарии (24)
Walis
05.01.2016 17:40+1Рано судить о том, что только находится на стадии разработки. Ваши аргументы вполне логичны, но может Гугл еще не раскрыл все карты и в итоге у них получиться достойное и безопасное решение. Лично мне их идея нравится.
DonRydell
05.01.2016 17:51+2Безусловно, все возможно. Надеюсь, что Гугл нас удивит и создаст что-то революционное. Идея хорошая, если рассматривать ее с точки зрения удобства входа в аккаунт. Я лишь хотел сказать, что двухфакторной такую аутентификацию назвать сложно, так как по сути своей она останется однофакторной. Проверяется или фактор владения смартфоном, или фактор знания пароля (если телефона нет под рукой). Но не оба сразу.
tgilartem
05.01.2016 18:10+1В вопросе аутентификации всегда приходится чем-то жертвовать, или безопасностью, или удобством. Думаю, Гугл решил дать нам выбор. Кто помешан на защите данных будет и дальше пользоваться аутентификатором, кому хочется упростить себе процесс, выберет новинку.
DonRydell
05.01.2016 19:52Абсолютно с Вами согласен, но я всегда на стороне безопасности. Главное, чтобы у пользователей не сложилось ложных убеждений в том, что такой метод будет столь же надежен, как двухфакторная аутентификация с одноразовыми паролями.
Tremax
05.01.2016 23:24Цитата из другой новости на хабре:
На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.
Поэтому не только владеть телефоном, но и знать PIN-код.sabio
06.01.2016 01:23Ну как сказать. Есть же ещё всякие trusted places / trusted devices. С ними и PIN можно не знать.
Да и PIN / pattern можно по отпечаткам на экране подсмотреть.
DonRydell
06.01.2016 16:02Для злоумышленника остается еще одна лазейка. Сообщить системе, что телефон утерян, и зайти при помощи обычного пароля, который он может узнать используя фишинг, социальную инженерию или брутфорс. Такого быть не должно, если мы хотим называть аутентификацию двухфакторной, то при утере одного фактора (телефона или токена) процесс восстановления доступа к аккаунта должен быть сложнее.
glazik
06.01.2016 01:271. То же самое можно сказать и про хардверный токен, что второй фактор это факт доступа к токену. Поэтому считаю вашу логическую цепочку — не корректной.
2. Уверен, что в релиз версии такого не будет, как этого нет в гугловской актуалной 2-х факторной аутентификации.
3. Опять же, как мне кажется, притянуто за уши. По такой логике, можно утверждать, что уже сейчас есть возможность выбрать путь взлома, т.к. пароли от жмайла уже хранятся и на смарфоне и на таблете и на часах и т.д.
Думаю стоит относится к этому способу аутентификации как у эволюции способа с токеном, только вместо того чтобы в ручную вводить цифры с одного дисплея на другой — процесс автоматизирован.DonRydell
06.01.2016 16:091 — Да, хардверный токен — это один из факторов доступа к системе (фактор владения), но одного его не достаточно для входа в систему, нужно предварительно ввести логин и пароль (фактор знания). Тогда получится двухфакторная аутентификация. Новый метод аутентификации, предлагаемый Гуглом предполагает использование или одного телефона, или оного пароля, потому я считаю его не совсем двухфакторным.
2 — Надеюсь на это. Мои наблюдения основаны только на той информации, которую мы имеем сейчас.
3 — Возможно, так оно и есть, потому одно из основных направлений развития информационной безопасности сегодня — это защита мобильных устройств от вирусов.
Kano
06.01.2016 09:45Парни из гугла подошли к решению проблем хранения множества паролей с другой стороны. По сути данный метод был с нами очень давно — запоминания паролей в браузере с сохранением данной информации в облаке. Это было не удобно. Теперь они делают тоже самое но убрав промежуточные звенья.
Правда я бы не доверил гуглу ниодного своего запароленного ресурса, но это мое личное дело.
Crandel
06.01.2016 11:14Суть данного способа в другом. Теперь можно ставить на аккаунт сложный пароль, потому что не нужно тратить время на его ввод. Так как люди по своей сути ленивые существа, то предпочитают короткие простые пароли. Если можно будет просто нажать кнопку и не писать пин код, особенно где-то в кафешке или у друзей например почту проверить, тогда можно будет ставить длинный, защищенный пароль и удобно пользоваться сервисами
DonRydell
06.01.2016 16:19Возможно Вы правы. Но недавно прочитал такое мнение:
“В целом логично, что одно авторизованное подключение может разрешать другие подключения. Но это может привести к забыванию пароля. Чем чаще его вводишь, тем более автономным становишься. И вдруг телефон забыл дома, сидишь в гостях, хочешь отправить письмо или что-то такое? А пароль не помнишь, потому что ввёл его раз в жизни.”
Сложный пароль сложно и запомнить. Соглашусь с Вами, что люди ленивы. Обычно мы такие пароли записываем на листочке или в лучшем случае храним в менеджерах паролей, которые тоже уязвимы.
Mitch
15.01.2016 05:112 телефона — двух факторная идентефикация!
Почти как в кино, где красную кнопку разблокируют одновременным поворотом двух металлических ключей.
Sordi
Вы меня убедили, переходить на новые способы аутентификации от Гугла пока не буду. Кстати я давно уже пользуюсь мобильным аутентификатором от Гугл. Вполне удобное и надежное решение. Что Вам в нем не понравилось? Хотелось бы узнать поподробней.
DonRydell
Спасибо за вопрос. Я тоже долгое время пользовался этим приложением и ничего плохого о нем сказать не могу кроме того, что есть и другие аналогичные решения только с расширенным функционалом. Я начал подыскивать что-то посвежее после покупки смарт-часов на Android. Хотел найти мобильный аутентификатор, к которому можно подключить мои часы. Нашел приложение Protectimus Smart, пользуюсь им и сейчас. Плюс мне понравилось, что оно защищено PIN-кодом, есть функция подписи данных, и можно самому выбирать алгоритм генерации паролей и их длину.
ragimovich
А вам не страшно доверять один из двух факторов непонятному приложению с закрытым исходным кодом, разработчик которого закрыл данные WHOISGuard-ом и пользуется бесплатным SSL сертификатом от Incapsula? Как-то серьезная контора не вяжется с таким поведением. Например, Yubikey (https://www.yubico.com/) имеет EV SSL и все данные регистрации домена открыты.
tgilartem
Не вижу ничего плохо в использовании Incapsula. Это интеллектуальный фаервол и CDN, а значит, их решение не упадет. Что же касается закрытых WHOISGuard-ом данных, то это действительно нехорошо, нужно открывать.
DonRydell
Токены Yubikey мне нравятся, но при выборе генератора OTP я их не рассматривал, так как они требуют наличия USB, а я иногда вхожу с планшета. Программный же токен от Yubico как две капли воды похож на Google Authenticator: play.google.com/store/apps/details?id=com.yubico.yubioath. Соглашусь с tgilartem насчет SSL сертификата от Incapsula, но я не обращал внимание на эти нюансы при выборе токена.
sabio
В описании Google Authenticator тоже ведь указана поддержка Android Wear.
Вы успели её попробовать? Есть какие-то неудобства?
DonRydell
Функция поддержки Android Wear появилась в Google Authenticator сравнительно недавно. Когда я пользовался ним, такой возможности еще не было. Потому и перешел на Protectimus Smart. Пользуюсь смарт-часами постоянно, пока никаких недостатков или глюков не заметил. Посмотрел на FreeOTP, который Вы предлагаете ниже, и заметил, что и в нем, как и в Google Authenticator цифры пишутся слитно, а в моем токене они разделены по парам, что очень облегчает ввод одноразового пароля. Мелочь, но приятная.
sabio
Про цифры «по парам» я уже и сам думал. Да и иконка у FreeOTP, мягко сказать, «не ахти».
Благо исходники открыты — fedorahosted.org/freeotp
Можно и под себя собрать, и pull request отправить.
Вот уже и поддержку Android Wear кто-то добавил: fedorahosted.org/freeotp/ticket/60
sabio
Лично меня напрягал устаревший дизайн (Гугл обновил его совсем недавно).
А также неудобство различия учётных записей, когда их больше одной — серый мелкий текст под кодом.
Сравните: Google Authenticator и FreeOTP
Последней, в итоге, и пользуюсь.