Новинка от Google. Безопасна ли аутентификация без ввода пароля?

Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.

Обмен данными происходит по каналу GCM (Google Cloud Messaging). На девайс пользователя отправляется уведомление, которое нужно принять для входа в свою учетную запись. Кому интересно узнать больше, можно почитать тут ^[1].

По словам Рохита Пола, который, собственно, и известил мир об этом нововведении, система работает по принципу двухфакторной аутентификации. Сначала пользователь должен авторизоваться на своем смартфоне (первый фактор), и только после этого он сможет принять уведомление от Goggle и войти в аккаунт (второй фактор).

Но я осмелюсь с этим не согласиться. Ведь есть в этой схеме и несколько «но»:

1. Считать такой способ аутентификации двухфакторным было бы ошибкой, ведь при нажатии на кнопку «Yes» пользователь подтверждает на самом деле лишь один фактор – фактор владения телефоном. Второй фактор (фактор знания пароля) система не проверяет. Двухфакторная аутентфикация подразумевает использование одновременно двух разных факторов – фактора знания, а также второго фактора, владения или биометрии. Ключевая идея 2FA заключается в том, что недостатки одного фактора перекрываются преимуществами другого.
2. Если смартфон заблокирован, потерян, или просто недоступен, то у пользователя остается возможность ввести обычный логин и пароль. То есть второй фактор не является обязательным. Что же помешает злоумышленнику воспользоваться этой лазейкой и свести весь процесс к простому вводу пароля? А уже узнать пароль с помощью фишинга, социальной инженерии, брутфорса и т.д. для хакера не большая проблема.
3. На самом деле такое нововведение может значительно ухудшить ситуацию с защитой аккаунтов, ведь у злоумышленника даже появиться выбор – или подобрать пароль, или запустить вирус на смартфон. Вспоминаем статистику, которая утверждает, что 87% смартфонов на Android уязвимы, да и новости об уязвимостях iOS проскакивают нередко.

Новая система аутентификации с передачей сигнала по каналу GCM, тестируемая Google, явно не создана для того, чтобы усилить защиту данных пользователя. Возможно, такая схема подойдет для упрощения процесса входа в систему, ведь пользователю нужно нажать только одну кнопку. Тогда соглашусь, это удобно и понравится большинству юзеров, ведь все люди ленивы по своей натуре.

Но если ответственно относиться к вопросу защиты данных, то, по моему мнению, от подобного способа аутентификации лучше отказаться и использовать 2FA с одноразовыми паролями. Сегодня для генерации одноразовых паролей есть множество бесплатных приложений. Тот же Google Authenticator, или любые другие мобильные аутентификаторы, например, от Microsoft, Dell, ATSolution, Authentry или Protectimus. Я попробовал их почти все, но использую один из них, который имеет ряд дополнительных преимуществ по сравнению с Аутентификатором от Гугл. Как их использовать для аутентификации в популярных соц. сетях и чем они хороши я расскажу в отдельной статье.

Автор: DonRydell

Источник ^[2]