Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:

Шаг 1. Запуск браузера и переход к форме аутентификации (кнопка Sign in):



Шаг 2. Ввод адреса почты:



Шаг 3. После нажатия Next, система просит выполнит подтверждение входа на телефоне (обратите внимание на fallback-опцию внизу страницы- Use your password instead):



На телефоне (Рохит пользуется Android) всплывает Push notification:



Шаг 4. После разблокирования телефона, задается вопрос на который надо положительно ответить:



Шаг 5. И еще один уровень проверки, на экране входа (на основном устройстве) показывается число, которое надо выбрать на мобильном устройстве:



Шаг 6. Вход в учетную запись успешно выполнен (наконец-то!):



Вот такие вот новшества. Лично я ожидал более простого «беспарольного» входа, но учитывая то, что это фактически уже публичная бета (Рохит обычный пользователь) предлагаемый конечный продукт так и будет выглядеть. Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным- уж точно не проще старых добрых паролей.

P.S. На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.

UPDATE: Как передает портал AndroidPolice, Google официально подтвердил, что привлек к тестированию новой технологии небольшую группу пользователей:
«We've invited a small group of users to help test a new way to sign in to their Google accounts, no password required. 'Pizza', 'password' and '123456'—your days are numbered,»

Комментарии (53)


  1. Marsikus
    23.12.2015 16:05
    +6

    Так ведь можно войти в чужой аккаунт, пока владелец вышел и оставил телефон на столе, по крайней мере если телефон не запаролен. Или я упустил какую-то деталь?


    1. paththeir
      23.12.2015 16:07
      +12

      Наличие PIN-кода на устройстве обязательно, это проверяется при активации.


      1. Marsikus
        23.12.2015 17:02
        -6

        Но ведь большинство телефонов запрашивает PIN только после перезагрузки, а в остальное время открывается просто свайпом или кнопкой. Это если специально не менять настройки на более безопасные.


        1. EminH
          23.12.2015 17:09
          +13

          речь не про пин симки, Google говорит про screen lock или Touch ID


        1. webportal
          23.12.2015 17:10
          +6

          Вы путаете PIN андроида с PINом сим карты.


          1. Marsikus
            23.12.2015 18:21
            +5

            Теперь понятно, спасибо. Андроидом не пользовался, так что был не в курсе.


      1. Moskus
        24.12.2015 08:15
        +1

        Угу, только шанс срисовать PIN разблокировки просто по следам пальцев на экране заметно выше нулевого, к большому сожалению.


        1. mak_sim
          24.12.2015 10:28
          +1

          Да даже просто подсмотреть его сильно проще. Я вот знаю графические PIN'ы большинства своих коллег. Не специально узнавал, а просто несколько раз увидел и какие-то запомнились.


  1. Bytamine
    23.12.2015 16:20
    +5

    Поменяли шило на более безопасное мыло.


  1. devbutch
    23.12.2015 16:21
    +6

    Странно… если двухфакторная аутентификация подразумевает ввода постоянного пароля (аккаунт) и временного (смс код), то здесь для направленной атаки нужно было потрудится узнать пароль от аккаунта жертвы и каким-то образом получить контроль над его телефоном для того, чтобы перехватить сообщение. А сейчас достаточно только «обработать» телефон. Разве это не упростит задачу для злоумышленников?


  1. VioletGiraffe
    23.12.2015 16:24
    +22

    Лично мне проще ввести пароль, чем тянуться за телефоном.


  1. pushlan
    23.12.2015 16:32
    +3

    у меня так вообще смартфона нет


  1. DIKunin
    23.12.2015 16:50
    +1

    Очень мило — прокинул аутентификацию на Pebble — настроил на подтверждение по вращению запястьем — шикарно!


    1. EminH
      23.12.2015 16:56

      А как там c PIN-кодом? Это приложение требует наличие «screen lock»


      1. DIKunin
        23.12.2015 20:07

        Такие вещи, например в приложении Outlook обходились кастомной надстройкой.


    1. WerewolfPrankster
      23.12.2015 19:13

      А можно по подробнее? Что за софтина?


      1. TheSteelRat
        23.12.2015 19:23

        Вы думаете, что комментатор попал в эту небольшую группу тестирования, сделал reverse engineering механизма на телефоне и успел написать приложение для pebble? :)


        1. WerewolfPrankster
          23.12.2015 19:26

          Нет, я думал, что есть какая-то софтина, которая позволяет слать кастомные действия на телефон с помощью Pebble :)


          1. DIKunin
            23.12.2015 20:09

            Есть такая софтина — называется AutoPebble — в связке с приложением Tasker на телефон.
            play.google.com/store/apps/details?id=net.dinglisch.android.taskerm
            play.google.com/store/apps/details?id=com.joaomgcd.autopebble


            1. WerewolfPrankster
              25.12.2015 04:48

              Спасибо! Правда AutoCast глючит, а таски не срабатывают с заблокированным экраном… (


              1. DIKunin
                25.12.2015 13:55

                Про AutoCast — не знаю, еще не пробовал, а вот таски с выключенным экраном — у меня отрабатывают на ура)


  1. ivanych
    23.12.2015 17:29

    А что за приложение используется на телефоне? Что-то родное-встроенное-андроидное, или его еще установить надо?


    1. EminH
      23.12.2015 17:34

      Похоже что что-то встроенное, необходимость установить какое либо приложение нигде не упоминается


    1. BOOMik
      23.12.2015 18:21

      Скорее всего это приложение будет встроено в Google Play Сервисы. Там много всего есть и для многого используется.


    1. c01nd01r
      23.12.2015 18:35

      Скорее всего это лаунчер Google / Google Now


  1. c01nd01r
    23.12.2015 18:34
    +1

    Нечто подобное есть у Теле2 — авторизация в личном кабинете с помощью ввода числа в USSD запрос. Очень удобно.


  1. ivlis
    23.12.2015 18:51
    +8

    Вместо двухфакторной авторизации 0 факторная. Ну нет уж, гугл, спасибо.


  1. TheSteelRat
    23.12.2015 19:20
    -1

    Интересно… Буквально неделю назад обновилось мобильное приложение Приват24 и теперь вместо кода из СМС, для подтверждения входа, нужно просто нажать в приложении одну кнопочку. Правда, ввод номера телефона и пароля на сайте никто не отменял.


    1. Vilgelm
      24.12.2015 01:35

      У Промсвязьбанка тоже так с недавнего времени. Бонусом все информирование тоже приходит в виде push-уведомлений, а не в виде SMS.


      1. mak_sim
        24.12.2015 10:36

        Ага. Сначала было обрадовался, а потом пришлось отключить. Программа финансового учёта которой я пользуюсь умеет парсить смс от банков и автоматически учитывать транзакции. А с push обламалось…


  1. ComodoHacker
    23.12.2015 20:08

    Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным

    По-моему, все очевидно. Гугл будет больше знать о нас. Какими компьютерами мы пользуемся, где они находятся. На десктопах многие отключают геолокацию, и Гугл это беспокоит. А в телефоне не отключают, слишком много плюшек теряется. А еще Гуглу интересно, в каких случаях мы пользуемся десктопом для почты и прочего, хотя телефон под рукой и пароль вводить не надо.


    1. lorc
      23.12.2015 20:50
      +2

      Он как бы и так видит вход с десктопа. А смартфон хранит историю вашего перемещения. Соотнести два таймстампа как бы несложно в любом случае.


  1. kabachok
    23.12.2015 22:05
    +1

    Очевидно же что это для умных часов примочка


  1. ilynxy
    23.12.2015 23:38
    +2

    А вот потерял я свой телефон. И хочу удалённо заблочить/удалить всё на нём. Но для этого нужно войти в аккаунт. А телефона нет. Можно войти в аккаунт с помощью старого доброго пароля? Тогда как же прощай 'password' и '123456'?


    1. TheSteelRat
      24.12.2015 11:28

      Наверняка можно будет войти с помощью пароля. Данный механизм, как мне кажется, сделан для защиты от некоторого класса троянов.


    1. Crandel
      24.12.2015 11:41
      +2

      обратите внимание на fallback-опцию внизу страницы- Use your password instead


      1. ilynxy
        24.12.2015 15:18

        Обратите внимание, я не сказал, что невозможно ввести пароль. Я сказал, что невозможно отказаться от парольной аутентификации. И раз невозможно отказаться, то фраза «пароли типа 'пароль' и '123456' — ваши дни сочтены» чисто маркетоидная. Да, предложен новый способ аутентификации (возможно удобный), но при этом возможность вводить пароль никуда не делась (и не видно способов как этого избежать в случае утери телефона). Так что вопросов с безопасностью от этого новоизобретения не убавилось (возможно и прибавилось).


        1. Crandel
          24.12.2015 15:25

          Совершенно не вижу проблемы, этот способ не заменяет парольную аутентификацию, а лишь дополняет ее.


          1. ilynxy
            24.12.2015 15:32
            +1

            Ещё раз, в исходном тексте есть фраза: 'Pizza', 'password' and '123456'—your days are numbered. Что намекает нам на решение проблемы «слабых» паролей. Однако никакого решения этой проблемы нововведение не предлагает. Поэтому я и говорю, что этот пассаж, намекающий на усиление безопасности, маркетоидная шелуха.


            1. Crandel
              24.12.2015 15:50

              Тут все просто, Если пользователю не нужно будет каждый раз вводить пароль, то он поставит большой и надежный, будет заходить по телефону, а в случае нужды поменяет на другой. Я считаю, что наоборот, они хорошо продумали момент с человеческой ленью, поэтому это хороший и востребованный вариант


              1. ilynxy
                24.12.2015 16:02

                Тут не всё просто. По исследованиям, во время придумывания пароля пользователи думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Я думаю, что «слабые» пароли используют не только и не столько потому, что лень вводить «сильные» пароли, а в том что «сильный» пароль нелегко запомнить. А запоминать (или где-то хранить) его всё равно надо.

                И в очередной раз: я никоим образом не оцениваю «хорошесть» и «востребованность» новоизобретённой аутентификации. Я всего лишь говорю, что пассаж о том, что безопасность улучшится — неверен.


                1. Crandel
                  24.12.2015 16:13

                  Это уже проблемы людей. Вы прям хотите, чтобы за вас все делали. Сознательные люди оценят удобство и поставят себе более надежные пароли, если им не придеться каждый раз вводить пароль. По сути это некоторая замена LastPass и прочих менеджеров паролей. Особенно если нужно проверить почту в кафешке


                  1. bonifaci
                    24.12.2015 22:50

                    Сознательные люди и сейчас не используют pizza и 1234567


  1. mak_sim
    24.12.2015 00:28

    Какая-то жесть в текущем виде. Телефон обычно блокируется не сразу, а по истечению какого-то времени, если у пользователя AndroidWear то телефон в достаточно большом от него радиусе не будет блокировать, если включён режим on body detection (или как он там называется) то украденный рюкзак даст разблокированный телефон/планшет. Да и в целом задача получить не заблокированый телефон проще чем получить пароль от учётки. Какая-то очень странная система защиты.


    1. TimsTims
      24.12.2015 10:21

      Но ведь атакующий не получает пароль от учетки, в случае кражи пароля. Пароль от почты то нигде не светится.


      1. mak_sim
        24.12.2015 10:45

        Ну да, это снимет угрозу утери пароля но речь же о безопасности данных в целом. Получив доступ до почты даже на короткое время можно например сменить пароли на подавляющем большинстве сервисов на многих из которых могут быть привязаны например банковские карты.


        1. TimsTims
          24.12.2015 12:00

          Ну это понятно, однако речь в статье именно про безпарольную авторизацию. А что мешает, например, заполучив телефон человека — просто открыть почту оттуда? Ведь там тоже почта, там тоже пароли и возможность сбросов паролей сервисов итд.
          О боже мой! Я только-что нашел еще одну брешь в безопасности гугла (только гугл тут не причем, это с любым почтовиком прокатит)!

          Всегда, если есть физический доступ к чему-то, то атака становится совсем другого плана. Злоумышленник тупо может заменить вам телефон на свой точно-такойже с записью пинкода, или установить на ваш телефон небольшую прогу-шпиона, которая выглядит как обычная. Да много чего может быть, если есть физический доступ, но гугл решает не эту проблему, а совсем другую — надежность паролей, вирусы и трояны, которые могут сидеть на компе жертвы и записывать пароли(например в каких-нибудь интернет-кафе) итд.


    1. TheSteelRat
      24.12.2015 11:26

      Я так думаю, что цель всего этого — защита от троянов на компьютере, а не от воров.
      По поводу Android Wear. Во-первых Android смартфонов в мире было продано в 2014 году около 1 миллиарда, а Android Wear — от 1 до 5 миллионов. Какова вероятность, что у жертвы будет Android Wear :)? Во-вторых все функции отключения блокировки, когда часы рядом или когда девайс на теле, опциональны. Вероятность указанных вами событий стремится к нулю.


      1. mak_sim
        24.12.2015 11:34

        Вероятность подсмотреть простенький графический код стремится к нулю?
        В разделе SmartLock есть пяток опций которые как раз уменьшают количество случаев ввода пароля или PIN'а (конечно у меня нет статистики как часто люди включают эти функции).

        В любом случае дело не в этом. Получить доступ к незаблокированному телефону неизмеримо проще чем узнать пароль.

        P.S. Судя по апдейту в топике цель этого уменьшить количество простых паролей. Но мне кажется даже простой пароль надёжнее такого способа. Во всяком случае в нынешней реализации.


  1. Londoner
    24.12.2015 02:42

    Т.е. атакующему достаточно подсмотреть четыре (обычно) цифры пин-кода на экране телефона и дождаться когда владелец свалит в туалет?


  1. Crandel
    24.12.2015 11:46

    Хватит писать бред про подсмотренный пин код у соседа. У меня лично на смарте тот же gmail и совершенно без пароля, и если злоумышленнику нужно будет посмотреть письма и у него будет телефон — то десктопная версия ему не нужна. Тут как в поговорке — «Проблемы индейцев шерифа не волнуют»


  1. EasyX
    25.12.2015 01:19

    Приложение онлайн-банкинга от Приватбанка как раз принесло такую же штуку с последним обновлением.


  1. blogopoisk
    26.12.2015 10:51

    Тестировщику за такое могут дать по голове. Думаю его больше не позовут что-то тестировать.