maybe_elf сегодня в 11:48

Google внедрит двухфакторную аутентификацию для всех пользователей

Google собирается внедрить для всех пользователей Gmail и владельцев учетных записей других сервисов двухфакторную аутентификацию для защиты их данных.

Вскоре компания начнет по умолчанию регистрировать пользователей по системе двухэтапной аутентификации, даже если их учетные записи не настроены надлежащим образом. Узнать статус своей учетной записи можно в разделе «Проверка безопасности».

Пользователям предложат вводить дополнительный ключ безопасности Google Titan или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона.

По данным Microsoft, 99,9 % взломанных учетных записей, которые она отслеживает каждый месяц, не использовали многофакторную аутентификацию. Два года назад компания изменила базовый уровень безопасности Windows 10, который до этого рекомендовал корпоративным пользователям менять свой пароль каждые несколько месяцев.

Google же предлагала функцию менеджера паролей в Chrome. Теперь в браузере заметили экспериментальную опцию под названием «импорт пароля», которая позволяет пользователям импортировать пароли из файла CSV.

Ранее исследователи безопасности из NinjaLab рассказали об уязвимости в чипах для аппаратных ключей безопасности Google Titan и YubiKey. Ее эксплуатация позволяла хакерам восстановить первичный ключ шифрования для создания криптографических токенов и обхода операций двухфакторной аутентификации.

Теги:

Хабы:

Комментарии 65

Jogger сегодня в 11:53
+7
Как всегда, под видом улучшений гугл собирает номера телефонов (у тех, у кого ещё не собрал по какой-то причине). Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.
- apapacy сегодня в 12:04
  +5
  Я долго боолся. Потом был какой-то срочный момент. Или митинг с клиентом или проблемы на сервере. Мне срочно понадобился логин в облако. тут облако присылает мне на мейл ОТП код. Я иду на мейл и читаю издевательское сообщене. "Мы обнаружили подозрительную активность на Вашем экаунете. В целях Вашей же безопасности Вы должны сообщитьнам свой номер телефона" То что они сделают 100% обязательным это только дело времени. Наверное прочитывали сколько при этом клеинтов они потеряют. очень надеюсь что всех.
  - Ark1774 сегодня в 14:33
    
    0
    Почтовые сервисы этим уже давно занимаются.
  - sumanai сегодня в 17:20
    
    0
    Ну так какие проблемы, у меня сегодня потребовал, первый сервис приёма СМС из гугла и второй номер в нём. И плевать, что номер украинский, а я когда-то уже вводил таким же способом другой номер. Б -Безопасность.
  - MTyrz сегодня в 20:54
    
    0
    Доверяйте облакам, облака — это надежно.
    [/sarcazm]
- vmkazakoff сегодня в 13:11
  0
  Так речь не про смс. Да и зачем ваш номер Гуглу? Ладно ещё Яндекс с Мейлом, с ними понятно.
  У меня номер поменялся лет 5-6 назад (старый остался, но не основной) и за это время Гугл ни разу не прислал ни единой смски. Всегда авторизация проходила или по одноразовому коду из аутентификатора (приложение где коды меняются раз в минуту), или по нажатию на кнопку "да" на экране смартфона. Без второго фактора я лично считаю любой аккаунт не защищённым.
  Причем настроил аутентификатор с меняющимися паролями я до того как указал свой номер, не уверен, но мне кажется что и сейчас так можно. Как минимум вижу такую опцию для другого своего аккаунта.
  Так что никто ваш номер не пробует получить, нужен именно телефон как устройство, а не телефон как номер.
  - apapacy сегодня в 13:19
    
    –4
    Ну вот аутентфикатор. Как вы думаете, этот аутентификатор не знает о Вас больше чем нужно?
    - Kanlas сегодня в 13:29
      
      +5
      
      А что он может знать?
      - tmin10 сегодня в 17:29
        
        +1
        
        Он знает текущее время, конечно же!
    - vmkazakoff сегодня в 13:59
      
      +2
      
      Вы, верно, и не поняли даже о каком аутентификаторе речь и что там за технологии.
      Если что - у меня authy опенсорсный, у него разрешений примерно ноль. И в нем не только Гугель, но и несколько других аккаунтов, в которых я считаю важным включить 2ФА.
      - interprise сегодня в 15:24
        
        0
        
        Не нашел сорцы authy, вы уверенный что он открытый?
        
        vmkazakoff сегодня в 15:42
        
        0
        
        Бес попутал, а исправить не могу. Спасибо что заметили! Я конечно же подумал про одно, написал другое. Authy не опенсорс (но у меня он), но есть OpenOTP и масса других решений уже опенсорсных. Алгоритм внутри не отличается (технология одна), но опенсорс всяко лучше.
      - czz сегодня в 20:00
        
        0
        
        Посмотрите Authy App Privacy Policy, там много интересного: www.twilio.com/legal/privacy/authy
  - dimakey сегодня в 13:47
    
    +1
    А Как быть в случае утери устройства? Читал как люди ставили Близзардовское приложение-аутентификатор, а потом при утоплении телефона прям максимальный гемор для восстановления доступа.
    - vmkazakoff сегодня в 15:09
      
      +1
      
      Ключик то можно было б и сохранить ))
      А обычно там все как и с потерей пароля - всякие секретные слова, старые пароли, вспомнить на что был похож пароль, фото с паспортом на фоне своего ~~ковра~~ аккаунта... конкретно у Гугла ещё есть специальные защитные коды - их, если совсем никак, можно и на бумажку выписать.
    - tmin10 сегодня в 17:31
      
      +1
      
      Обычно к нему прикладывается лист одноразовых паролей, по которым можно восстановить доступ. Предполагается его печать и хранение в надёжном месте. Ну и ключи сохранить можно, да.
    - dartraiden сегодня в 21:26
      
      0
      
      При настройке аутентификатора любой уважающий себя сервис предлагает сохранить резервные коды или seed. Близзы при настройке явно пишут «вот этот код очень важно сохранить в надёжном месте, он поможет при утере аутентификатора настроить новый». Но люди, как обычно либо игнорируют, либо сохраняют резервные коды на том же устройстве, что и аутентификатор.
  - sumanai сегодня в 17:21
    
    0
    Да и зачем ваш номер Гуглу?
    
    Его спросите.
    
    нужен именно телефон как устройство, а не телефон как номер
    
    Пока я видел только поле для ввода номера.
    - Ileots сегодня в 18:15
      
      0
      
      Номер потом гугл вроде разрешает удалить из аккаунта, по крайней мере 2 года назад я удалил у себя - пришлось сначала номер указать, да...
      - VitalKoshalew сегодня в 20:25
        
        0
        
        Номер потом гугл вроде разрешает удалить из аккаунта
        
        Поправка — Google позволит занести 1 в какое-нибудь поле bIsDeleted.
        
        Ileots сегодня в 20:54
        
        0
        
        Вы правы, если вдруг надо будет восстанавливать доступ, надо будет указывать максимум информации, прошлые пароли и тп, наверняка окажется, что гугл и этот номер помнит...
  - sumanai сегодня в 17:30
    
    0
    Без второго фактора я лично считаю любой аккаунт не защищённым.
    
    Главное чтобы этот второй фактор не мог превратится в единственно необходимый.
    
    не уверен, но мне кажется что и сейчас так можно
    
    Как минимум в куче российских сервисов нельзя, проверял.
    - vmkazakoff сегодня в 17:47
      
      0
      
      Так. В статье речь только про Гугл. Нашими сервисами я стараюсь не пользоваться, а если пользуюсь, то уж точно не дорожу паролями.
      Только что проверил - моему второму акку предлагают все возможные способы второго фактора. Никакого принуждения к вводу номера. Может быть если я всё-таки включу, то попросит, я не хочу проверять - это общий аккаунт и у других доступ слетит.
- dblokhin сегодня в 13:12
  –5
  Это у вас, параноиков, гугл-аккаунт только ради того, чтобы приложения поставить из плей маркета. Есть целый мир, в котором у людей на гугл-акк завязано работа в самом серьезном смысле слова, образование, связи, личная переписка. Вам-то этого не знать, вы в своем Signal или жабере сидит и горя не знаете.
  Ага. Гугл собирает базу телефонов, йопта.
  - apapacy сегодня в 13:23
    
    –4
    Не только телефонов. Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно? Ну например если Вы в России то не только Ваш а всех. По некоему санкционному списку стран. А пока конечно можно прикалываться над Эльбрусами.
    - Kanlas сегодня в 13:30
      
      +2
      
      А как отсутствие номера телефона поможет от блокировки аккаунта? И при чем тут Эльбрусы?
      - tvr сегодня в 15:43
        
        +5
        
        И при чем тут Эльбрусы?
        
        Мастер приплёта 80 lvl, рефлекс.
    - dblokhin сегодня в 13:58
      
      0
      
      Для вас непараноиков работа в самом серьезном смысле слова завершиться ровно в тот момент когда Гугл заблокирует Ваш эккаунт. Это невозможно?
      
      Как-то ограничено государственными границами РФ. И причем здесь это как аргумент против двухэтапки, непонятно.
    - C_21 сегодня в 15:44
      
      +6
      
      Вот смотришь карма 35, 43 публикации, рейтинг все дела, а человек несет херню про санкции и блокировки и расово верный Эльбрус.
      Пусть у меня карма -30, так я несу чепуху то про толерастов, Роскомнадзор — который у всех в печенках, про режим который на колени ставит рунет.
      Зато человек патриот, а я так мимо тут проходил и иногда ляпну в невпопад.
      Вот этот камрад скорей всего над блокировками работает и сидит на зарплате. Иначе такую херь про ненавязчивое импортозамещение я понять не могу.
  - Dolios сегодня в 16:59
    
    +1
    Очень недальновидно завязывать всю свою жизнь на 1 компанию (пусть и хорошую), которая может вас в любой момент забанить без объяснения причин.
  - sumanai сегодня в 17:22
    
    0
    Это у вас, параноиков, гугл-аккаунт только ради того, чтобы приложения поставить из плей маркета.
    
    Это неправильные параноики, не советую равняться на них. Правильные параноики используют F-Droid на самолично собранной LineageOS.
    - bgBrother сегодня в 17:52
      
      0
      
      Правильные параноики используют F-Droid на самолично собранной LineageOS
      Подозреваю, что правильные параноики перестали пользоваться сотовыми телефонами. Ну или Librem и аналоги с выключенными модулями связи, но вряд ли.
      - sumanai сегодня в 19:50
        
        0
        
        Разные степени паранойи. Настоящие параноики улетели в другую солнечную систему, тут ловить уже нечего.
- gsaw сегодня в 14:54
  –2
  Там не обязательно задавать номер телефона, можно и просто устройство андроид настроить для подтверждения. Раньше да, когда этого не было, я вводил номер телефона. Пару раз был за границей с рюкзаком. И иногда приходилось логиниться в стрёмных интернет кафешках, что бы купить и распечатать билеты к примеру. Двухэтапная аутентификация все же лучше в таком случае, если там какие ни будь кейлоггеры установленны.
- BlackMokona сегодня в 17:40
  0
  Разумеется, с точки зрения безопасности, это практически ничего не помнеяет, разве что для идиотов у которых пароль 12345.
  
  Т.е процентов для 90 клиентов, учитывая как сильно распространены подобные супер простые и очевидные пароли
- Elfro сегодня в 18:50
  +3
  Здесь хоты бя требуют только номер. Яндекс же вообще блокирует аккаунты под предлогом «замечена подозрительная активность», и пока фоточку паспорта не пришлешь, доступ не получишь. А потом новость «Сотрудник «Яндекса» слил данные почти 5000 пользователей почты». А сколько таких фоточек было нарисовано, и сколько ящиков таким образом вломано — никто не знает. И в отличие от идентификации по IP или номеру, с фоточкой потом концы с концами не свяжешь. Но очевидно персональные данные для Яндекса важнее безопасности данных пользователей, чего я не могу сказать про гугл.
  - sumanai сегодня в 19:51
    
    0
    Фоточек вроде ни разу не требовал, только телефон.
Busla сегодня в 12:21
0
Вам «чёрным по белому» написали что аутентификация двухэтапная, а не двухфакторная.
- OnYourLips сегодня в 12:44
  +3
  Я думаю, что СМС нельзя считать отдельным фактором: они не являются доказательством механизма аутентификации (могут быть перехвачены кем угодно из-за уязвимостей SS7) в отличие от доказательства владения (аппаратные устройства) или знания (пароли).
  - Busla сегодня в 18:05
    
    0
    Придерживаюсь того же мнения в отношении СМС, но зачем вы мне это пишите?
- dartraiden сегодня в 21:29
  0
  Тем не менее, она может быть и двухфакторной, если вместо SMS выбрать генерацию кодов аутентификатором, либо аппаратный FIDO-ключ. При этом, Google и в этом случае будет называть её «2-Step». Так что, напиши автор «двухэтапная», можно было бы всё равно придираться.
klim76 сегодня в 13:11
0
то есть людей не имеющих телефона по мнению гугла не существует
- dblokhin сегодня в 13:15
  –2
  Если у человека в повседневной жизни нет телефона, то о гугле он и подавно не слышал. А вообще, они годами исследуют проблему аутентификации, и пришли к выводу, что пароли есть зло в любом случае. Кстати, об этом где-то пару лет назад статья была на хабре.
  - apapacy сегодня в 13:26
    
    +3
    Я был одним из первх польщователей gmail и при этом пока была возможность работать без телефона работал без мобильного телефона. Конечно люди очень быстро подсаживаются на технологии.
- Kanlas сегодня в 13:22
  +2
  А что гугл потеряет без них? Таких людей единицы и вряд ли они являются активными пользователями его продуктов
- DrPass сегодня в 13:56
  0
  Я сильно сомневаюсь, что в 2021-м году количество людей на всей планете, у которых нет телефона, но зато есть гугловская учётка, наберётся больше десятка.
  - Vinchi сегодня в 16:09
    
    0
    Их вполне может быть миллиард
    - DrPass сегодня в 18:11
      
      +1
      
      Да, а Земля под ними плоская, не иначе.
- svob сегодня в 14:02
  0
  И если там будет привязка к некоему приложению, то телефон не просто должен быть в наличии, но и должен быть более-менее современным. Потому что приложения на каком-то этапе перестают обновляться, но требуют обновлений — и еще требуют версию ОС «не старше такой-то».
  То есть для пользования аккаунтом всем потребуется регулярно менять модели телефонов.
  - dartraiden сегодня в 21:32
    
    0
    Потому что приложения на каком-то этапе перестают обновляться, но требуют обновлений.
    Приложений, реализующих генерацию кодов по стандарту TOTP, полно, обновлений они не требуют в обязательном порядке.
    
    Можно даже использовать кнопочный телефон с J2ME при желании.
    
    Google здесь очень большой молодец, что использует стандартный TOTP. В отличие от Яндекса, например, запилившего свой алгоритм, который поддерживается только их собственным аутентификатором.
Kanlas сегодня в 13:20
0
или привязать учетную запись к смартфонам. Однако последний вариант может представлять проблему при смене номера телефона
Так привязка к номеру телефона или к смартфону?
- apapacy сегодня в 13:31
  –1
  А собственно какая разница. В любом случае гугл свяжет одно с другим как автор операционной системы, владелец сервисов по пуш-сообщениям, владелец сервисов по авторизации. Ему даже вообще ничего не нужно делать. Чтобы загрузиь прилоение из стора Вам нужно авторизоваться. Потом разработчик приложений логинит Вас через ОТП и вот номер телефона в карамане у гугла связке с Вашей почтой.
  - Kanlas сегодня в 13:40
    
    +1
    Разница в том, к чему аккаунт будет в результате привязан. К номеру или к устройству
- gsaw сегодня в 14:46
  0
  И к номеру и к телефону. Вернее там есть эти два варианта. Причем можно задать несколько устройств и несколько телефонных номеров. У меня один привязанный старый телефон в тумбочке дома лежит, на всякий случай. Двухэтапную аутентификацию я давно уже использую.
LexaZ сегодня в 15:42
–1
корпорация добра все еще причиняет добро…
то есть, мой к9 отправится на пенсию что ли?
Одни эмоции, в общем.
- dartraiden сегодня в 21:41
  0
  Для вашего k9 нет аутентификаторов, поддерживающих TOTP?
S-e-n сегодня в 15:52
0
Soon we’ll start automatically enrolling users in 2SV if their accounts are appropriately configured.
Вот, что говорится в оригинале.
Dolios сегодня в 16:55
0
Кто-нибудь может объяснить, как это работает? Вот есть у меня компьютер, на нем линух и тандербёрд, который забирает и отправляет почту. Заглянул сейчас в настройки и не нашел ничего про двухфакторную аутентификацию.
- sumanai сегодня в 17:27
  0
  Для Mozilla Thunderbird скорее всего настроен отдельный пароль приложения с доступом только к почте. А при настройке вообще открывается логин в гугл, и Thunderbird скорее всего сам получит пароль приложения.
  - Dolios сегодня в 17:41
    
    0
    Нет никакого отдельного пароля, конфигцрил, как написано [тут](https://support.google.com/mail/answer/7126229?visit_id=637560815917867424-2268361422&hl=en-GB&rd=1)
    - bgBrother сегодня в 17:58
      
      +2
      
      Нет никакого отдельного пароля
      Аутентификация по второму фактору у вас настроена? Если нет, то и не удивительно, что работает.
      
      конфигурил, как написано [тут]
      Чуть ниже на странице есть пункт «I can't sign in to my email client», открыв который вы увидите предложение «Use an app password», о котором sumanai и говорил. При 2fa без app password войти не получается, судя по моей практике. Очень часто пароль приложения нужно генерировать самому, зайдя в веб-версию почтовика (oAuth вход, о котором выше речь, не у всех почтовиков реализован и работает).
      - Dolios сегодня в 18:11
        
        0
        
        Понял, спасибо.
      - Dolios сегодня в 18:21
        
        0
        
        Еще вопрос, если вы не возражаете, вы явно в курсе :)
        
        Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления? А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?
        
        bgBrother сегодня в 18:32
        
        +1
        
        Правильно ли я понимаю, что можно будет настроить апплет на телефоне, который получает почту, чтобы он как и раньше ее получал и показывал уведомления?
        Да, конечно. «Пароль приложения» можно представить себе как некий сессионный токен, который вы получили после «ручной авторизации». Везде где его будете использовать — будет работать.
        
        А вот любые действия, связанные с аккаунтом или доступ к почте через браузер будут требовать второго фактора?
        Да, и не только через браузер. «Обычного» пароля уже будет недостаточно.
        
        При этом, разные почтовые сервисы по разному реагируют на изменение «обычного» пароля — некоторые сбрасывают все «пароли приложений», а некоторые — нет. Первый вариант более корректный.
        
        Еще нужно учитывать, что злоумышленное ПО может украсть этот «пароль приложения» и может получить доступ к содержимому ящика (зависит от политики сервиса, т.к. проверяются различные технические параметры: регион по IP-адресу, тип устройства, идентификатор устройства).
        
        Dolios сегодня в 18:44
        
        0
        
        Благодарю за ликбез.