Мы в KingServers стараемся отслеживать последние тенденции в различных технологических сферах. Одна из них, которая интересует нас больше всего — это безопасность. Если нет достаточного уровня безопасности, то все технические ухищрения по хранению и передаче данных можно считать напрасными (ну, почти) — все равно данные может украсть кто угодно.

Оказывается, защитить личные данные можно с достаточно высокой степенью надежности. Речь идет о Security Keys, небольших устройствах, которые мешают злоумышленнику добраться к информации пользователя. И сейчас результаты работы большого количества сотрудников Google подтверждают сказанное.

Как оказалось, более 50 тысяч сотрудников корпорации Google в течение двух лет принимали участие в исследовании, посвященному информационной безопасности. И вывод здесь категоричен: Security Keys дадут фору смартфонам и любым другим формам двухфакторой аутентификации.

Основа Security Keys — Universal Second Factor, открытый стандарт, который легко использовать пользователю любого уровня — от начинающего до работников ИТ-сферы. Security Keys позволяют без проблем получить личную информацию без угрозы быть взломанным. Киберпреступники, возможно, умеют как-то бороться с Security Keys, но сотрудники корпорации Google так не считают. По их мнению, для стороннего человека взломать такой ключ или использовать в его отношении какие-то другие методы не представляется возможным. Сейчас криптографические ключи такого типа стали внедрять у себя Google, Dropbox, GitHub и другие ресурсы и сервисы.

Два года изучения этих миниатюрных систем доказали инженерам Google, что более надежного способа двухфакторной аутентификации просто нет. При подключении в USB порт такой ключ обеспечивает «криптографическое подтверждение личности», которое крайне сложно взломать или подделать. В Google положительно оценивают возможности такой системы.

Доказательством того, что сотрудники Google действительно считают защиту с использованием Security Keys эффективной может служить включение поддержки таких систем в ряд продуктов Google. «Мы включили поддержку для Security Keys в браузер Chrome. Мы активировали этот метод защиты во многих наших сервисах. В этой работе мы показываем, что Security Keys увеличивают общий уровень безопасности, а пользователю высокая надежность защиты данных обходится в минимальную сумму и временные затраты», — заявил один из участников исследования.

Как известно, другие формы двухфакторной аутентификации подразумевают получение одноразового пароля в виде сообщения на телефон. Один из паролей в этом случае требуется при загрузке чего-либо, включая операционную систему. А второй пароль нужен для входа в собственный аккаунт. Есть еще смарт-карты и сертификаты специфического типа.

Использование двухфакторной аутентификации вместе с телефоном — не самый удачный вариант. Например, одноразовые пароли могут быть похищены злоумышленниками. Подвергаются опасности и сами телефоны — ведь сейчас выпущено уже огромное количество разного рода мобильных вирусов. Они могут похищать вводимые пароли, отправляя его хозяину. Кроме того, телефон может внезапно сесть или потерять сеть, и что потом? Сидеть и ждать у моря погоды?

Smartcard — тоже относительно проблемный вариант. Дело в том, что они обычно требуют специфического оборудования и установки драйверов на каждом из ПК, где должен работать пользователь. Это делает смарткарты гораздо менее популярным средством, чем они могли бы быть. Кроме того, в некоторых странах их выдает правительство, что может навести на определенные размышления.

TLS -сертификаты, которые используют для аутентификации пользователей, известны годами, но особенно популярными они не стали. Дело в том, что их довольно сложно сгенерировать для обычного пользователя, да и содержит такой сертификат больше информации чем хотелось бы. Это может быть, например, имя пользователя и его сетевые «координаты». Кроме того, при работе на каждом новом ПК необходимо устанавливать уникальный сертификат.

По мнению представителей Google, Security Keys представляют собой оптимальную комбинацию безопасности, удобства использования и приватности. Стоимость такого ключа составляет около $10, в среднем. Если ключ создается известной компанией, то цена чуть выше — вплоть до $18. Они меньше по размеру, чем дверной ключ, вставляются в обычный USB-порт, в них нет батареек.

В целом, сейчас двухфакторная аутентификация становится все более распространенным методом защиты информации. Но она же не слишком удобна, как указывалось выше. Security Keys — один из альтернативных смартфонам и смарткартам вариантов. Вполне может быть, что в будущем именно они и станут основным элементом такой аутентификации. Или нет?
Поделиться с друзьями
-->

Комментарии (15)


  1. akzhan
    26.12.2016 03:04

    Скорее нет. Развитие идёт в сторону биометрической идентификации, первый шаг — TouchID, я уже плачу в магазинах по телефону.


    Почему первый — надежность пока не очень высока.


    1. maxpsyhos
      26.12.2016 08:52
      +1

      TouchID — это не биометрическая идентификация. Это биометрический «замок» на хранилище с примерно таким-же ключом, как указано в статье.


  1. pavelpromin
    26.12.2016 04:48
    +1

    Хотелось бы узнать поподробнее об устройствах и о их применении, на примере того же Гугла или гитхаба


  1. Ziptar
    26.12.2016 06:59
    +1

    Уже какое-то время пользуюсь U2F-токеном jacarta, плюс его в том, что просто достать — аладдин не то реселлер, не то производитель. Других плюсов нет.
    Хотелось бы конечно yubikey, который имеет гораздо больше вкусностей, но с ними бяда в России…


    1. 2PAE
      26.12.2016 11:00

      ebay? Вроде продавались? Или я что-то путаю?


      1. Ziptar
        26.12.2016 11:01

        На таможне могут завернуть, на сколько мне известно.


        1. 2PAE
          26.12.2016 11:07

          Попросить продавца написать. USB Flash Drive. Или накидать несколько покупок в один пакет. Сред них и флешка…


          1. Ziptar
            26.12.2016 11:08

            Вы так любите лотереи?


            1. 2PAE
              26.12.2016 11:24

              Другие варианты есть? Нет? Значит играем! ;)
              Деньги вернут. Максимум на курсе обменном потеряете.


              1. navion
                26.12.2016 12:38

                Если сильно не повезёт могут обвинить в контрабанде криптографических средств.


        1. fedorro
          26.12.2016 14:04

          Вот действующие нотификации: раз, два. Стало быть ввоз этих средств криптографии разрешен, или я что-то упустил? Сам приглядываюсь к NEO с NFC, поэтому интересуюсь.


          1. Ziptar
            26.12.2016 14:06

            А, вот это уже интересно, спасибо. Я не знал, что на них есть нотификации.


  1. MrPrayer
    26.12.2016 15:23

    То есть, воровство материалов без указания первоисточников — не только прерогатива редакторов ГТ, но теперь и платных клиентов Хабра?

    Хотя бы КДПВ поменяли, совести ради.
    http://arstechnica.com/security/2016/12/this-low-cost-device-may-be-the-worlds-best-hope-against-account-takeovers/


  1. DimmoNz
    26.12.2016 17:13

    Я так понимаю на iPhone в Gmail не зайти будет?
    В чем преимущество этого метода, если я поставлю OTP (google authenticator) на iPod touch и буду включать его только для этого приложения. Так как достаточно ввести один раз 2FA на ПК и телефоне, то вообще больше не надо будет вводить каждый раз.


    1. CAJAX
      28.12.2016 16:47

      Если политика компании требует логина каждый день, то использовать токены за 10 баксов будет гораздо проще и дешевле.