Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели  в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.



15 комментариев

  1. Il

    17.07.2017 at 22:33

    Пока что отказ от смс кажется невероятным. Смс просты и понятны, а установка левого приложения которое тебе не нужно-сомнительное удовольствие. И что с ним делать в зоне где нет доступа к интернету

    • Tapac

      18.07.2017 at 03:46

      Как это интернета нету? Ты же в свой аккаунт логинишся. 🙂

      • Novakovskiy

        18.07.2017 at 17:25

        Легко. На компе есть, а в телефоне нет. Есть места где связь еле-еле, а инет по проводу и вифи не пахнет.

        • Anon

          19.07.2017 at 08:31

          Даа, бывает и смс не сразу приходят 🙁
          Почему бы им не улучшить стандарт gsm?! (тем кто в танке-это риторический вопрос)

          • Plate

            19.07.2017 at 10:32

            Единственная альтернатива смс — это телефонный звонок, для этого и ничего улучшать не понадобится, как и устанавливать приложение. Все уже давно придумано и работал, не понимаю чем этот вариант Google не устраивает и да, ваш сарказм не засчитан.

            • AnRoN

              23.07.2017 at 19:11

              Звонки тоже перехватываются… и да, такая функция у Google есть. Лично как то раз пользовался, потому как смс с нескольких попыток почему то не доходило. Что касается указанного сервиса — пользуюсь им давно и он кажется намного удобнее СМС, хотя они как резерв все-равно включены. Так же ниже правильно написали про Google Authentificator — тоже отличная альтернатива СМС и вообще не требует привязки к сети… главное смартфон под рукой иметь

      • Novakovskiy

        18.07.2017 at 17:26

        Или телефон кнопочный )))

      • Plate

        18.07.2017 at 17:48

        С одной стороны вы правы, Тарас, но с дсругой стороны. Я, будучи пользователем сервисов Google вовсе не обязан иметь смартфон. Согласны со мной?

        • Int

          20.07.2017 at 14:14

          Гугл тоже не обязан предоставлять бесплатный сервис всем желающим. Сервис же бесплатный, так что принимаешь условия того, кто его предоставляет. А его условие — наличие телефона. Впрочем, я на своём аккаунте телефон не указывал и не укажу, пока это возможно.

  2. Skybad

    18.07.2017 at 10:07

    Молодцы что внедрили. СМС может перехватить любой желающий. А вот если бы зашифрованные данные пересылали в СМС и на стороне пользователя это подхватывалось то тоже было бы неплохо.

    • mk-ultra

      24.07.2017 at 11:47

      Каким образом любой желающий может перехватить смс? Это не так то просто сделать. Возможно, да. Но очень затруднительно. Во всяком случае, уж «любой» то, точно не сможет перехватить смс.

  3. ExplorerFromRus

    20.07.2017 at 07:24

    Одно время было приложение на телефоне. Которое генерировало одноразовые пароли.
    Примерно это было так. При регистрации на сайте, приходил контрольный код (синхранозация программы и сайта для генерации пароля).
    Далее при авторизации сайт выдаёт случайное число, вводишь в программу на телефоне и получаешь одноразовый пароль для входа.
    Считаю это хорошей альтернативой СМСкам.

    • AnRoN

      23.07.2017 at 19:14

      Оно есть и сейчас… использую способ, описанный выше, потом google authentificator и только после смс (как правило после смены телефона, если в новом забыл привязать authentificator).

  4. banderlog68

    23.07.2017 at 20:45

    «СМС может перехватить любой желающий.» А актуальность перехваченных данных в единицу времени, код одноразовый. «зашифрованные данные пересылали в СМС» — мысль здравая, но кто определяет алгоритм шифрования? Google? А нет ощущения, что Google как раз и «взвился» из за невозможности контроля действий региональных и некоторых глобальных операторов. А вот выше было про сомнительное ПО на телефоне, это кажется более вероятным. Google не устраивает все что нельзя «посадить под колпак». Мое мнение, исключительно субъективное.

  5. Skybad

    23.07.2017 at 21:07

    banderlog68 Если помотреть на мир твоими глазами то ты прав на 100%.
    Но я пока думаю что Гугл максиму для себя делает доступ. Не сливая это на сторону. Хотя против борьбы с тероризмом могут и сливать.

Оставить мнение