Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:
Шаг 1. Запуск браузера и переход к форме аутентификации (кнопка Sign in):
Шаг 2. Ввод адреса почты:
Шаг 3. После нажатия Next, система просит выполнит подтверждение входа на телефоне (обратите внимание на fallback-опцию внизу страницы- Use your password instead):
На телефоне (Рохит пользуется Android) всплывает Push notification:
Шаг 4. После разблокирования телефона, задается вопрос на который надо положительно ответить:
Шаг 5. И еще один уровень проверки, на экране входа (на основном устройстве) показывается число, которое надо выбрать на мобильном устройстве:
Шаг 6. Вход в учетную запись успешно выполнен (наконец-то!):
Вот такие вот новшества. Лично я ожидал более простого «беспарольного» входа, но учитывая то, что это фактически уже публичная бета (Рохит обычный пользователь) предлагаемый конечный продукт так и будет выглядеть. Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным- уж точно не проще старых добрых паролей.
P.S. На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.
UPDATE: Как передает портал AndroidPolice, Google официально подтвердил, что привлек к тестированию новой технологии небольшую группу пользователей:
«We've invited a small group of users to help test a new way to sign in to their Google accounts, no password required. 'Pizza', 'password' and '123456'—your days are numbered,»
Комментарии (53)
devbutch
23.12.2015 16:21+6Странно… если двухфакторная аутентификация подразумевает ввода постоянного пароля (аккаунт) и временного (смс код), то здесь для направленной атаки нужно было потрудится узнать пароль от аккаунта жертвы и каким-то образом получить контроль над его телефоном для того, чтобы перехватить сообщение. А сейчас достаточно только «обработать» телефон. Разве это не упростит задачу для злоумышленников?
DIKunin
23.12.2015 16:50+1Очень мило — прокинул аутентификацию на Pebble — настроил на подтверждение по вращению запястьем — шикарно!
WerewolfPrankster
23.12.2015 19:13А можно по подробнее? Что за софтина?
TheSteelRat
23.12.2015 19:23Вы думаете, что комментатор попал в эту небольшую группу тестирования, сделал reverse engineering механизма на телефоне и успел написать приложение для pebble? :)
WerewolfPrankster
23.12.2015 19:26Нет, я думал, что есть какая-то софтина, которая позволяет слать кастомные действия на телефон с помощью Pebble :)
DIKunin
23.12.2015 20:09Есть такая софтина — называется AutoPebble — в связке с приложением Tasker на телефон.
play.google.com/store/apps/details?id=net.dinglisch.android.taskerm
play.google.com/store/apps/details?id=com.joaomgcd.autopebbleWerewolfPrankster
25.12.2015 04:48Спасибо! Правда AutoCast глючит, а таски не срабатывают с заблокированным экраном… (
DIKunin
25.12.2015 13:55Про AutoCast — не знаю, еще не пробовал, а вот таски с выключенным экраном — у меня отрабатывают на ура)
ivanych
23.12.2015 17:29А что за приложение используется на телефоне? Что-то родное-встроенное-андроидное, или его еще установить надо?
EminH
23.12.2015 17:34Похоже что что-то встроенное, необходимость установить какое либо приложение нигде не упоминается
BOOMik
23.12.2015 18:21Скорее всего это приложение будет встроено в Google Play Сервисы. Там много всего есть и для многого используется.
c01nd01r
23.12.2015 18:34+1Нечто подобное есть у Теле2 — авторизация в личном кабинете с помощью ввода числа в USSD запрос. Очень удобно.
TheSteelRat
23.12.2015 19:20-1Интересно… Буквально неделю назад обновилось мобильное приложение Приват24 и теперь вместо кода из СМС, для подтверждения входа, нужно просто нажать в приложении одну кнопочку. Правда, ввод номера телефона и пароля на сайте никто не отменял.
Vilgelm
24.12.2015 01:35У Промсвязьбанка тоже так с недавнего времени. Бонусом все информирование тоже приходит в виде push-уведомлений, а не в виде SMS.
mak_sim
24.12.2015 10:36Ага. Сначала было обрадовался, а потом пришлось отключить. Программа финансового учёта которой я пользуюсь умеет парсить смс от банков и автоматически учитывать транзакции. А с push обламалось…
ComodoHacker
23.12.2015 20:08Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным
По-моему, все очевидно. Гугл будет больше знать о нас. Какими компьютерами мы пользуемся, где они находятся. На десктопах многие отключают геолокацию, и Гугл это беспокоит. А в телефоне не отключают, слишком много плюшек теряется. А еще Гуглу интересно, в каких случаях мы пользуемся десктопом для почты и прочего, хотя телефон под рукой и пароль вводить не надо.lorc
23.12.2015 20:50+2Он как бы и так видит вход с десктопа. А смартфон хранит историю вашего перемещения. Соотнести два таймстампа как бы несложно в любом случае.
ilynxy
23.12.2015 23:38+2А вот потерял я свой телефон. И хочу удалённо заблочить/удалить всё на нём. Но для этого нужно войти в аккаунт. А телефона нет. Можно войти в аккаунт с помощью старого доброго пароля? Тогда как же прощай 'password' и '123456'?
TheSteelRat
24.12.2015 11:28Наверняка можно будет войти с помощью пароля. Данный механизм, как мне кажется, сделан для защиты от некоторого класса троянов.
Crandel
24.12.2015 11:41+2обратите внимание на fallback-опцию внизу страницы- Use your password instead
ilynxy
24.12.2015 15:18Обратите внимание, я не сказал, что невозможно ввести пароль. Я сказал, что невозможно отказаться от парольной аутентификации. И раз невозможно отказаться, то фраза «пароли типа 'пароль' и '123456' — ваши дни сочтены» чисто маркетоидная. Да, предложен новый способ аутентификации (возможно удобный), но при этом возможность вводить пароль никуда не делась (и не видно способов как этого избежать в случае утери телефона). Так что вопросов с безопасностью от этого новоизобретения не убавилось (возможно и прибавилось).
Crandel
24.12.2015 15:25Совершенно не вижу проблемы, этот способ не заменяет парольную аутентификацию, а лишь дополняет ее.
ilynxy
24.12.2015 15:32+1Ещё раз, в исходном тексте есть фраза: 'Pizza', 'password' and '123456'—your days are numbered. Что намекает нам на решение проблемы «слабых» паролей. Однако никакого решения этой проблемы нововведение не предлагает. Поэтому я и говорю, что этот пассаж, намекающий на усиление безопасности, маркетоидная шелуха.
Crandel
24.12.2015 15:50Тут все просто, Если пользователю не нужно будет каждый раз вводить пароль, то он поставит большой и надежный, будет заходить по телефону, а в случае нужды поменяет на другой. Я считаю, что наоборот, они хорошо продумали момент с человеческой ленью, поэтому это хороший и востребованный вариант
ilynxy
24.12.2015 16:02Тут не всё просто. По исследованиям, во время придумывания пароля пользователи думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Я думаю, что «слабые» пароли используют не только и не столько потому, что лень вводить «сильные» пароли, а в том что «сильный» пароль нелегко запомнить. А запоминать (или где-то хранить) его всё равно надо.
И в очередной раз: я никоим образом не оцениваю «хорошесть» и «востребованность» новоизобретённой аутентификации. Я всего лишь говорю, что пассаж о том, что безопасность улучшится — неверен.Crandel
24.12.2015 16:13Это уже проблемы людей. Вы прям хотите, чтобы за вас все делали. Сознательные люди оценят удобство и поставят себе более надежные пароли, если им не придеться каждый раз вводить пароль. По сути это некоторая замена LastPass и прочих менеджеров паролей. Особенно если нужно проверить почту в кафешке
mak_sim
24.12.2015 00:28Какая-то жесть в текущем виде. Телефон обычно блокируется не сразу, а по истечению какого-то времени, если у пользователя AndroidWear то телефон в достаточно большом от него радиусе не будет блокировать, если включён режим on body detection (или как он там называется) то украденный рюкзак даст разблокированный телефон/планшет. Да и в целом задача получить не заблокированый телефон проще чем получить пароль от учётки. Какая-то очень странная система защиты.
TimsTims
24.12.2015 10:21Но ведь атакующий не получает пароль от учетки, в случае кражи пароля. Пароль от почты то нигде не светится.
mak_sim
24.12.2015 10:45Ну да, это снимет угрозу утери пароля но речь же о безопасности данных в целом. Получив доступ до почты даже на короткое время можно например сменить пароли на подавляющем большинстве сервисов на многих из которых могут быть привязаны например банковские карты.
TimsTims
24.12.2015 12:00Ну это понятно, однако речь в статье именно про безпарольную авторизацию. А что мешает, например, заполучив телефон человека — просто открыть почту оттуда? Ведь там тоже почта, там тоже пароли и возможность сбросов паролей сервисов итд.
О боже мой! Я только-что нашел еще одну брешь в безопасности гугла (только гугл тут не причем, это с любым почтовиком прокатит)!
Всегда, если есть физический доступ к чему-то, то атака становится совсем другого плана. Злоумышленник тупо может заменить вам телефон на свой точно-такойже с записью пинкода, или установить на ваш телефон небольшую прогу-шпиона, которая выглядит как обычная. Да много чего может быть, если есть физический доступ, но гугл решает не эту проблему, а совсем другую — надежность паролей, вирусы и трояны, которые могут сидеть на компе жертвы и записывать пароли(например в каких-нибудь интернет-кафе) итд.
TheSteelRat
24.12.2015 11:26Я так думаю, что цель всего этого — защита от троянов на компьютере, а не от воров.
По поводу Android Wear. Во-первых Android смартфонов в мире было продано в 2014 году около 1 миллиарда, а Android Wear — от 1 до 5 миллионов. Какова вероятность, что у жертвы будет Android Wear :)? Во-вторых все функции отключения блокировки, когда часы рядом или когда девайс на теле, опциональны. Вероятность указанных вами событий стремится к нулю.mak_sim
24.12.2015 11:34Вероятность подсмотреть простенький графический код стремится к нулю?
В разделе SmartLock есть пяток опций которые как раз уменьшают количество случаев ввода пароля или PIN'а (конечно у меня нет статистики как часто люди включают эти функции).
В любом случае дело не в этом. Получить доступ к незаблокированному телефону неизмеримо проще чем узнать пароль.
P.S. Судя по апдейту в топике цель этого уменьшить количество простых паролей. Но мне кажется даже простой пароль надёжнее такого способа. Во всяком случае в нынешней реализации.
Londoner
24.12.2015 02:42Т.е. атакующему достаточно подсмотреть четыре (обычно) цифры пин-кода на экране телефона и дождаться когда владелец свалит в туалет?
Crandel
24.12.2015 11:46Хватит писать бред про подсмотренный пин код у соседа. У меня лично на смарте тот же gmail и совершенно без пароля, и если злоумышленнику нужно будет посмотреть письма и у него будет телефон — то десктопная версия ему не нужна. Тут как в поговорке — «Проблемы индейцев шерифа не волнуют»
EasyX
25.12.2015 01:19Приложение онлайн-банкинга от Приватбанка как раз принесло такую же штуку с последним обновлением.
blogopoisk
26.12.2015 10:51Тестировщику за такое могут дать по голове. Думаю его больше не позовут что-то тестировать.
Marsikus
Так ведь можно войти в чужой аккаунт, пока владелец вышел и оставил телефон на столе, по крайней мере если телефон не запаролен. Или я упустил какую-то деталь?
paththeir
Marsikus
Но ведь большинство телефонов запрашивает PIN только после перезагрузки, а в остальное время открывается просто свайпом или кнопкой. Это если специально не менять настройки на более безопасные.
EminH
речь не про пин симки, Google говорит про screen lock или Touch ID
webportal
Вы путаете PIN андроида с PINом сим карты.
Marsikus
Теперь понятно, спасибо. Андроидом не пользовался, так что был не в курсе.
Moskus
Угу, только шанс срисовать PIN разблокировки просто по следам пальцев на экране заметно выше нулевого, к большому сожалению.
mak_sim
Да даже просто подсмотреть его сильно проще. Я вот знаю графические PIN'ы большинства своих коллег. Не специально узнавал, а просто несколько раз увидел и какие-то запомнились.