Google пытается решить одну из самых больших проблем с двухэтапной аутентификацией — неудобство.
Ключи безопасности — эффективный способ защитить ваши учетные записи от хакеров, но вы столкнётесь с одной серьезной проблемой — они неудобны.
Немногие захотят купить и носить с собой дополнительный ключ или Bluetooth-брелок только для входа в систему — именно поэтому большинство двухэтапных аутентификаций (2FA) выполняется с помощью текстовых сообщений, хоть это и менее безопасно. До 90% пользователей Gmail даже не используют 2FA, сообщали в Google в 2018 году.
Неудобство — это большое препятствие, и Google надеется решить эту проблему, сделав свой телефон ключом безопасности. Он будет иметь те же функции, что и физический ключ безопасности, но не потребует от вас иметь дополнительное устройство для обеспечения безопасности учетных записей.
Это означает, что, как и ключ безопасности, телефон будет предупреждать вас, если мошеннический сайт попытается украсть ваш пароль. В отличие от использования SMS или кодов аутентификатора для входа в систему, ключи безопасности должны проверять, является ли веб-сайт, на котором вы входите, подлинным.
Обновленная функция безопасности доступна только для устройств с Android 7 и выше, на которые приходится около 50% всех активных пользователей, согласно статистике Google. На данный момент она работает только в браузере Chrome и с учетными записями Google, но компания планирует расширить доступность.
«Это естественная эволюция стандарта. Точно так же, как некоторые ключи безопасности изначально работали только с Chrome и перешли на другие браузеры, мы наблюдаем то же самое и здесь»
Кристиан Брэнд — менеджер по идентификации и безопасности продуктов Google
Вы можете настроить ключ безопасности на своем телефоне, зайдя в настройки Google и выбрав «Двухэтапная верификация». Оттуда вам нужно нажать «Добавить ключ безопасности» и выбрать свой телефон в качестве устройства.
Школа фишинга
Фишинг сегодня — обычное явление, его часто трудно обнаружить. Ключи безопасности помогают предотвратить проникновение хакеров в ваши учетные записи, потому что даже если ваш пароль был украден, злоумышленнику потребуется физический ключ для входа в систему.
«Мы решаем проблему, когда кто-то за тысячи миль пытается украсть ваш пароль»
Сэм Сринивас — директор по управлению продуктами Google Cloud
Когда Google впервые выпустил свой собственный ключ Titan Key, он стоил 50 долларов за комплект, и Брэнд заявил, что компания надеется снизить стоимость до 10 долларов.
Превращая устройства Android в ключи безопасности, Google по сути раздает их бесплатно. По словам Конора Гилсенана, исследователя безопасности в All Things Auth, такой широкий охват может помочь большему количеству людей начать использовать ключи безопасности.
По словам эксперта по безопасности, на Рождество он купил ключи безопасности для членов его семьи, но для установки всех этих устройств потребовалось более двух часов.
«Возможность использовать ваш телефон устраняет целый барьер для двухфакторной аутентификации для обычного интернет-пользователя».
Конор Гилсенан
Бранд заявил, что ключи безопасности телефона соответствуют стандарту аутентификации FIDO, что означает, что любые веб-сайты, поддерживающие этот стандарт, будут работать с вашим телефоном в качестве ключа безопасности. Они включают такие сайты, как Facebook, Twitter и GitHub.
Удобство = ключ
Брэнд надеется, что запуск технологии убедит другие сайты также принимать телефоны как ключи безопасности.
Эта технология работает при подключении телефона по блютуз к компьютеру при входе в учетную запись Google. Как только они подключатся, сообщение на телефоне предложит подтвердить вход в систему. По словам Брэнда, хоть они и используют блютуз для связи, этим двум устройствам не нужно сопряжение друг с другом.
«Мы разработали новый стандарт поверх Bluetooth, чтобы не допустить их сопряжения».
Была критика использования Bluetooth в ключах безопасности, потому как беспроводной протокол открыт для взлома через уязвимости безопасности. Когда в прошлом году Google объявил о своем Bluetooth-брелке, генеральный директор Yubico Стина Эренсвард выпустила заявление, в котором говорилось, что Bluetooth не имеет тех же стандартов безопасности, что NFC и USB.
Бренд сказал, что Google может позволить вашему телефону функционировать в качестве ключа безопасности через USB-кабель, но было решено не делать этого.
«Мы провели пользовательские исследования, попросив пользователей подготовить кабель, который будет соответствовать обоим их устройствам», — сказал он.
Тем не менее, даже несмотря на все удобства телефонов, Брэнд и Сринивас рекомендуют иметь второй резервный USB-ключ. Таким образом, если вы когда-нибудь потеряете свой телефон или аккумулятор разрядится, вы все равно сможете войти.
Теперь, когда половина всех устройств Android может функционировать в качестве ключей безопасности, новая задача будет заключаться в том, чтобы заставить людей использовать их таким образом.
Ключи безопасности имеют более низкий уровень использования, чем 2FA в целом, но удобство, скорее всего, привлечет больше людей, чтобы лучше защитить свои учетные записи.
«Вам не нужно подключать его, и вам не нужно покупать новое устройство, так как у вас уже есть телефон», — сказал Гилсенан. «Более сложная задача — донести до людей, что им действительно нужен 2FA».