Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.

Обмен данными происходит по каналу GCM (Google Cloud Messaging). На девайс пользователя отправляется уведомление, которое нужно принять для входа в свою учетную запись. Кому интересно узнать больше, можно почитать тут.

По словам Рохита Пола, который, собственно, и известил мир об этом нововведении, система работает по принципу двухфакторной аутентификации. Сначала пользователь должен авторизоваться на своем смартфоне (первый фактор), и только после этого он сможет принять уведомление от Goggle и войти в аккаунт (второй фактор).

Но я осмелюсь с этим не согласиться. Ведь есть в этой схеме и несколько «но»:

  1. Считать такой способ аутентификации двухфакторным было бы ошибкой, ведь при нажатии на кнопку «Yes» пользователь подтверждает на самом деле лишь один фактор – фактор владения телефоном. Второй фактор (фактор знания пароля) система не проверяет. Двухфакторная аутентфикация подразумевает использование одновременно двух разных факторов – фактора знания, а также второго фактора, владения или биометрии. Ключевая идея 2FA заключается в том, что недостатки одного фактора перекрываются преимуществами другого.
  2. Если смартфон заблокирован, потерян, или просто недоступен, то у пользователя остается возможность ввести обычный логин и пароль. То есть второй фактор не является обязательным. Что же помешает злоумышленнику воспользоваться этой лазейкой и свести весь процесс к простому вводу пароля? А уже узнать пароль с помощью фишинга, социальной инженерии, брутфорса и т.д. для хакера не большая проблема.
  3. На самом деле такое нововведение может значительно ухудшить ситуацию с защитой аккаунтов, ведь у злоумышленника даже появиться выбор – или подобрать пароль, или запустить вирус на смартфон. Вспоминаем статистику, которая утверждает, что 87% смартфонов на Android уязвимы, да и новости об уязвимостях iOS проскакивают нередко.

Новая система аутентификации с передачей сигнала по каналу GCM, тестируемая Google, явно не создана для того, чтобы усилить защиту данных пользователя. Возможно, такая схема подойдет для упрощения процесса входа в систему, ведь пользователю нужно нажать только одну кнопку. Тогда соглашусь, это удобно и понравится большинству юзеров, ведь все люди ленивы по своей натуре.

Но если ответственно относиться к вопросу защиты данных, то, по моему мнению, от подобного способа аутентификации лучше отказаться и использовать 2FA с одноразовыми паролями. Сегодня для генерации одноразовых паролей есть множество бесплатных приложений. Тот же Google Authenticator, или любые другие мобильные аутентификаторы, например, от Microsoft, Dell, ATSolution, Authentry или Protectimus. Я попробовал их почти все, но использую один из них, который имеет ряд дополнительных преимуществ по сравнению с Аутентификатором от Гугл. Как их использовать для аутентификации в популярных соц. сетях и чем они хороши я расскажу в отдельной статье.

Комментарии (24)


  1. Sordi
    05.01.2016 17:34

    Вы меня убедили, переходить на новые способы аутентификации от Гугла пока не буду. Кстати я давно уже пользуюсь мобильным аутентификатором от Гугл. Вполне удобное и надежное решение. Что Вам в нем не понравилось? Хотелось бы узнать поподробней.


    1. DonRydell
      05.01.2016 17:47
      +1

      Спасибо за вопрос. Я тоже долгое время пользовался этим приложением и ничего плохого о нем сказать не могу кроме того, что есть и другие аналогичные решения только с расширенным функционалом. Я начал подыскивать что-то посвежее после покупки смарт-часов на Android. Хотел найти мобильный аутентификатор, к которому можно подключить мои часы. Нашел приложение Protectimus Smart, пользуюсь им и сейчас. Плюс мне понравилось, что оно защищено PIN-кодом, есть функция подписи данных, и можно самому выбирать алгоритм генерации паролей и их длину.


      1. ragimovich
        05.01.2016 18:11

        А вам не страшно доверять один из двух факторов непонятному приложению с закрытым исходным кодом, разработчик которого закрыл данные WHOISGuard-ом и пользуется бесплатным SSL сертификатом от Incapsula? Как-то серьезная контора не вяжется с таким поведением. Например, Yubikey (https://www.yubico.com/) имеет EV SSL и все данные регистрации домена открыты.


        1. tgilartem
          05.01.2016 19:57

          Не вижу ничего плохо в использовании Incapsula. Это интеллектуальный фаервол и CDN, а значит, их решение не упадет. Что же касается закрытых WHOISGuard-ом данных, то это действительно нехорошо, нужно открывать.


        1. DonRydell
          05.01.2016 19:59

          Токены Yubikey мне нравятся, но при выборе генератора OTP я их не рассматривал, так как они требуют наличия USB, а я иногда вхожу с планшета. Программный же токен от Yubico как две капли воды похож на Google Authenticator: play.google.com/store/apps/details?id=com.yubico.yubioath. Соглашусь с tgilartem насчет SSL сертификата от Incapsula, но я не обращал внимание на эти нюансы при выборе токена.


      1. sabio
        05.01.2016 18:43
        +1

        В описании Google Authenticator тоже ведь указана поддержка Android Wear.
        Вы успели её попробовать? Есть какие-то неудобства?


        1. DonRydell
          05.01.2016 20:07

          Функция поддержки Android Wear появилась в Google Authenticator сравнительно недавно. Когда я пользовался ним, такой возможности еще не было. Потому и перешел на Protectimus Smart. Пользуюсь смарт-часами постоянно, пока никаких недостатков или глюков не заметил. Посмотрел на FreeOTP, который Вы предлагаете ниже, и заметил, что и в нем, как и в Google Authenticator цифры пишутся слитно, а в моем токене они разделены по парам, что очень облегчает ввод одноразового пароля. Мелочь, но приятная.


          1. sabio
            06.01.2016 01:19

            Про цифры «по парам» я уже и сам думал. Да и иконка у FreeOTP, мягко сказать, «не ахти».
            Благо исходники открыты — fedorahosted.org/freeotp
            Можно и под себя собрать, и pull request отправить.

            Вот уже и поддержку Android Wear кто-то добавил: fedorahosted.org/freeotp/ticket/60


    1. sabio
      05.01.2016 18:40
      -1

      Лично меня напрягал устаревший дизайн (Гугл обновил его совсем недавно).
      А также неудобство различия учётных записей, когда их больше одной — серый мелкий текст под кодом.
      Сравните: Google Authenticator и FreeOTP

      Последней, в итоге, и пользуюсь.


  1. Walis
    05.01.2016 17:40
    +1

    Рано судить о том, что только находится на стадии разработки. Ваши аргументы вполне логичны, но может Гугл еще не раскрыл все карты и в итоге у них получиться достойное и безопасное решение. Лично мне их идея нравится.


    1. DonRydell
      05.01.2016 17:51
      +2

      Безусловно, все возможно. Надеюсь, что Гугл нас удивит и создаст что-то революционное. Идея хорошая, если рассматривать ее с точки зрения удобства входа в аккаунт. Я лишь хотел сказать, что двухфакторной такую аутентификацию назвать сложно, так как по сути своей она останется однофакторной. Проверяется или фактор владения смартфоном, или фактор знания пароля (если телефона нет под рукой). Но не оба сразу.


  1. tgilartem
    05.01.2016 18:10
    +1

    В вопросе аутентификации всегда приходится чем-то жертвовать, или безопасностью, или удобством. Думаю, Гугл решил дать нам выбор. Кто помешан на защите данных будет и дальше пользоваться аутентификатором, кому хочется упростить себе процесс, выберет новинку.


    1. DonRydell
      05.01.2016 19:52

      Абсолютно с Вами согласен, но я всегда на стороне безопасности. Главное, чтобы у пользователей не сложилось ложных убеждений в том, что такой метод будет столь же надежен, как двухфакторная аутентификация с одноразовыми паролями.


  1. Tremax
    05.01.2016 23:24

    Цитата из другой новости на хабре:

    На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.


    Поэтому не только владеть телефоном, но и знать PIN-код.


    1. sabio
      06.01.2016 01:23

      Ну как сказать. Есть же ещё всякие trusted places / trusted devices. С ними и PIN можно не знать.
      Да и PIN / pattern можно по отпечаткам на экране подсмотреть.


    1. DonRydell
      06.01.2016 16:02

      Для злоумышленника остается еще одна лазейка. Сообщить системе, что телефон утерян, и зайти при помощи обычного пароля, который он может узнать используя фишинг, социальную инженерию или брутфорс. Такого быть не должно, если мы хотим называть аутентификацию двухфакторной, то при утере одного фактора (телефона или токена) процесс восстановления доступа к аккаунта должен быть сложнее.


  1. glazik
    06.01.2016 01:27

    1. То же самое можно сказать и про хардверный токен, что второй фактор это факт доступа к токену. Поэтому считаю вашу логическую цепочку — не корректной.
    2. Уверен, что в релиз версии такого не будет, как этого нет в гугловской актуалной 2-х факторной аутентификации.
    3. Опять же, как мне кажется, притянуто за уши. По такой логике, можно утверждать, что уже сейчас есть возможность выбрать путь взлома, т.к. пароли от жмайла уже хранятся и на смарфоне и на таблете и на часах и т.д.

    Думаю стоит относится к этому способу аутентификации как у эволюции способа с токеном, только вместо того чтобы в ручную вводить цифры с одного дисплея на другой — процесс автоматизирован.


    1. DonRydell
      06.01.2016 16:09

      1 — Да, хардверный токен — это один из факторов доступа к системе (фактор владения), но одного его не достаточно для входа в систему, нужно предварительно ввести логин и пароль (фактор знания). Тогда получится двухфакторная аутентификация. Новый метод аутентификации, предлагаемый Гуглом предполагает использование или одного телефона, или оного пароля, потому я считаю его не совсем двухфакторным.
      2 — Надеюсь на это. Мои наблюдения основаны только на той информации, которую мы имеем сейчас.
      3 — Возможно, так оно и есть, потому одно из основных направлений развития информационной безопасности сегодня — это защита мобильных устройств от вирусов.


  1. Kano
    06.01.2016 09:45

    Парни из гугла подошли к решению проблем хранения множества паролей с другой стороны. По сути данный метод был с нами очень давно — запоминания паролей в браузере с сохранением данной информации в облаке. Это было не удобно. Теперь они делают тоже самое но убрав промежуточные звенья.
    Правда я бы не доверил гуглу ниодного своего запароленного ресурса, но это мое личное дело.


    1. DonRydell
      06.01.2016 16:11

      Совершенно согласен — это удобно. Но безопасно ли? Каждый решает сам.


      1. Kano
        11.01.2016 10:43

        Так же безопасно как и автоподстановка пароля в форму


  1. Crandel
    06.01.2016 11:14

    Суть данного способа в другом. Теперь можно ставить на аккаунт сложный пароль, потому что не нужно тратить время на его ввод. Так как люди по своей сути ленивые существа, то предпочитают короткие простые пароли. Если можно будет просто нажать кнопку и не писать пин код, особенно где-то в кафешке или у друзей например почту проверить, тогда можно будет ставить длинный, защищенный пароль и удобно пользоваться сервисами


    1. DonRydell
      06.01.2016 16:19

      Возможно Вы правы. Но недавно прочитал такое мнение:

      “В целом логично, что одно авторизованное подключение может разрешать другие подключения. Но это может привести к забыванию пароля. Чем чаще его вводишь, тем более автономным становишься. И вдруг телефон забыл дома, сидишь в гостях, хочешь отправить письмо или что-то такое? А пароль не помнишь, потому что ввёл его раз в жизни.”

      Сложный пароль сложно и запомнить. Соглашусь с Вами, что люди ленивы. Обычно мы такие пароли записываем на листочке или в лучшем случае храним в менеджерах паролей, которые тоже уязвимы.


  1. Mitch
    15.01.2016 05:11

    2 телефона — двух факторная идентефикация!
    Почти как в кино, где красную кнопку разблокируют одновременным поворотом двух металлических ключей.