Google постепенно отказывается от двухэтапной аутентификации через SMS

Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели  в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (16)

  • banderlog68 Если помотреть на мир твоими глазами то ты прав на 100%.
    Но я пока думаю что Гугл максиму для себя делает доступ. Не сливая это на сторону. Хотя против борьбы с тероризмом могут и сливать.

  • "СМС может перехватить любой желающий." А актуальность перехваченных данных в единицу времени, код одноразовый. "зашифрованные данные пересылали в СМС" - мысль здравая, но кто определяет алгоритм шифрования? Google? А нет ощущения, что Google как раз и "взвился" из за невозможности контроля действий региональных и некоторых глобальных операторов. А вот выше было про сомнительное ПО на телефоне, это кажется более вероятным. Google не устраивает все что нельзя "посадить под колпак". Мое мнение, исключительно субъективное.

  • Одно время было приложение на телефоне. Которое генерировало одноразовые пароли.
    Примерно это было так. При регистрации на сайте, приходил контрольный код (синхранозация программы и сайта для генерации пароля).
    Далее при авторизации сайт выдаёт случайное число, вводишь в программу на телефоне и получаешь одноразовый пароль для входа.
    Считаю это хорошей альтернативой СМСкам.

    • Оно есть и сейчас... использую способ, описанный выше, потом google authentificator и только после смс (как правило после смены телефона, если в новом забыл привязать authentificator).

  • Молодцы что внедрили. СМС может перехватить любой желающий. А вот если бы зашифрованные данные пересылали в СМС и на стороне пользователя это подхватывалось то тоже было бы неплохо.

    • Каким образом любой желающий может перехватить смс? Это не так то просто сделать. Возможно, да. Но очень затруднительно. Во всяком случае, уж "любой" то, точно не сможет перехватить смс.

  • Пока что отказ от смс кажется невероятным. Смс просты и понятны, а установка левого приложения которое тебе не нужно-сомнительное удовольствие. И что с ним делать в зоне где нет доступа к интернету

    • Сообщения могут быть перехвачены, или если нет сети, то СМС не придет. По поводу приложений для получения одноразовых паролей смею не согласиться, удобно и надежно, но что если вдруг отключится телефон и зарядить нечем, а войти в аккаунт очень горит.

      Лично я использую токен от компании Protectimus и проблем в использовании токена я не замечаю и по сей день.
      Не могу сказать, что данный 2FA является самым популярным в сети, но он точно один из самых надежных и практичных, гарантирует безопасность вашего аккаунту и защиту персональных данных, и на вид как обычный брелок, который можно всегда держать под рукой, на связке ключей.

    • Как это интернета нету? Ты же в свой аккаунт логинишся. :)

      • С одной стороны вы правы, Тарас, но с дсругой стороны. Я, будучи пользователем сервисов Google вовсе не обязан иметь смартфон. Согласны со мной?

        • Гугл тоже не обязан предоставлять бесплатный сервис всем желающим. Сервис же бесплатный, так что принимаешь условия того, кто его предоставляет. А его условие — наличие телефона. Впрочем, я на своём аккаунте телефон не указывал и не укажу, пока это возможно.

      • Легко. На компе есть, а в телефоне нет. Есть места где связь еле-еле, а инет по проводу и вифи не пахнет.

        • Даа, бывает и смс не сразу приходят :(
          Почему бы им не улучшить стандарт gsm?! (тем кто в танке-это риторический вопрос)

          • Единственная альтернатива смс - это телефонный звонок, для этого и ничего улучшать не понадобится, как и устанавливать приложение. Все уже давно придумано и работал, не понимаю чем этот вариант Google не устраивает и да, ваш сарказм не засчитан.

          • Звонки тоже перехватываются... и да, такая функция у Google есть. Лично как то раз пользовался, потому как смс с нескольких попыток почему то не доходило. Что касается указанного сервиса - пользуюсь им давно и он кажется намного удобнее СМС, хотя они как резерв все-равно включены. Так же ниже правильно написали про Google Authentificator - тоже отличная альтернатива СМС и вообще не требует привязки к сети... главное смартфон под рукой иметь