`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Google предлагает не использовать SMS для аутентификации

+22
голоса
Google предлагает не использовать SMS для аутентификации

Начиная с этой недели, все кто использует SMS в 2-факторной верификации 2-Step Verification (2-SV) учетной записи Google получат приглашение вместо этого попробовать войти с помощью подсказок.

Продолжая поддерживать SMS, Google, однако, учитывает и позицию Национального института стандартов и технологий (NIST), в прошлом году исключившего короткие сообщения из своего списка предпочтительных сторонних методов аутентификации.

Основная причина — ненадежность SMS: злоумышленник может заставить оператора сотовой сети перенаправить SMS на свой телефон. Также имеется множество вредоносных Android-приложений, крадущих одноразовые коды, которые банки посылают пользователям в SMS.

В качестве альтернативы, Google с июня прошлого года предлагает пользователям Android и iOS метод входа по подсказкам. Ключевое его преимущество в том, что аутентификация полностью осуществляется через зашифрованное соединение. В феврале этот метод был доработан — в подсказки была добавлена контекстная информация, такая как устройство, местоположение и время попытки входа в эккаунт Google.

В случае, если пользователь игнорирует приглашение переключиться с 2-SV SMS на подсказки, оно будет повторено через шесть месяцев. Google не исключает, что в конце концов может прекратить поддержку верификации через SMS.

На устройствах Android подсказки можно получать без дополнительных действий, но на iPhone для этого требуется установить приложение Google Search.

+22
голоса

Напечатать Отправить другу

Читайте также

Нда? А если не смартфон а фичерфон? У меня, например, SIM-карта для рабочих аккаунтов Google - установлена в обычную "звонилку", куда я и получаю все эти бесконечные одноразовые коды от безсчётного количества сервисов. И меня этот вариант вполне устраивает уже несколько лет. Меня и без этого всё устраивало. Все эти попытки защитить дибиловатого пользователя от него же самого - бесконечный процесс. Чтобы не украли аккаунт - не нужно заставлять пользователя применять пароли повышенной сложности или верифицировать аутентичность пользователя с параноидальной частотой и с такой же настойчивостью. Достаточно вставить в ЕУЛУ пункт про то, что "вся ответсвенность за достаточную сложность пароля-остаётся на стороне пользователя". Хочет пользователь иметь пароль "12345" - пусть ставит. Но и претензии по взлому - не принимаються. А то все эти сложности с защитой санкционированного доступа уже прям сильно напоминают загадку про то: зачем все ключи надевают на кольцо для ключей. UPD:забыл важное-я работаю на нескольких машинах одновременно, они - в разных доменах и эти домены в разных странах и под разными прокси - тоже довольно часто. Что мне собираются подсказывать если один и тот же аккаунт я захочу открыть на всех машинах одновременно?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT