| +22 голоса |
|
Начиная с этой недели, все кто использует SMS в 2-факторной верификации 2-Step Verification (2-SV) учетной записи Google получат приглашение вместо этого попробовать войти с помощью подсказок.
Продолжая поддерживать SMS, Google, однако, учитывает и позицию Национального института стандартов и технологий (NIST), в прошлом году исключившего короткие сообщения из своего списка предпочтительных сторонних методов аутентификации.
Основная причина — ненадежность SMS: злоумышленник может заставить оператора сотовой сети перенаправить SMS на свой телефон. Также имеется множество вредоносных Android-приложений, крадущих одноразовые коды, которые банки посылают пользователям в SMS.
В качестве альтернативы, Google с июня прошлого года предлагает пользователям Android и iOS метод входа по подсказкам. Ключевое его преимущество в том, что аутентификация полностью осуществляется через зашифрованное соединение. В феврале этот метод был доработан — в подсказки была добавлена контекстная информация, такая как устройство, местоположение и время попытки входа в эккаунт Google.
В случае, если пользователь игнорирует приглашение переключиться с 2-SV SMS на подсказки, оно будет повторено через шесть месяцев. Google не исключает, что в конце концов может прекратить поддержку верификации через SMS.
На устройствах Android подсказки можно получать без дополнительных действий, но на iPhone для этого требуется установить приложение Google Search.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +22 голоса |
|
Нда? А если не смартфон а фичерфон? У меня, например, SIM-карта для рабочих аккаунтов Google - установлена в обычную "звонилку", куда я и получаю все эти бесконечные одноразовые коды от безсчётного количества сервисов. И меня этот вариант вполне устраивает уже несколько лет. Меня и без этого всё устраивало. Все эти попытки защитить дибиловатого пользователя от него же самого - бесконечный процесс. Чтобы не украли аккаунт - не нужно заставлять пользователя применять пароли повышенной сложности или верифицировать аутентичность пользователя с параноидальной частотой и с такой же настойчивостью. Достаточно вставить в ЕУЛУ пункт про то, что "вся ответсвенность за достаточную сложность пароля-остаётся на стороне пользователя". Хочет пользователь иметь пароль "12345" - пусть ставит. Но и претензии по взлому - не принимаються. А то все эти сложности с защитой санкционированного доступа уже прям сильно напоминают загадку про то: зачем все ключи надевают на кольцо для ключей. UPD:забыл важное-я работаю на нескольких машинах одновременно, они - в разных доменах и эти домены в разных странах и под разными прокси - тоже довольно часто. Что мне собираются подсказывать если один и тот же аккаунт я захочу открыть на всех машинах одновременно?