r   e   k   l   a   m   a
r   e   k   l   a   m   a

Pytanie zamiast kodu w SMS-ie: Google z bezpiecznym dwuetapowym logowaniem

Strona główna AktualnościBEZPIECZEŃSTWO

Dla większości internautów dwuetapowe uwierzytelnianie wciąż oznacza przesyłanie potwierdzających kodów SMS-em – do tego przyzwyczaiły nas przecież banki. Pokazuje to tylko, jak nie na czasie są korporacyjne usługi bezpieczeństwa. W końcu od wielu miesięcy wiadomo już o lukach w wykorzystywanym do komunikacji między operatorami telefonii komórkowej protokole Signaling System 7 (SS7), które wykorzystać można m.in. do przeczytania SMS-a z kodem uwierzytelniającym. Dobry przykład wszystkim może jednak dać Google, które oficjalnie rozpoczęło zastępowanie kodów usługą Google Prompt.

We wrześniu firma Positive Technologies uzyskała dostęp do platformy SS7 jednego z operatorów telekomunikacyjnych, by zademonstrować jak łatwo jest wykraść ofierze bitcoiny z jej portfela. Pozyskano jej adres gmailowy i numer telefonu. Nastepnie zażądano zresetowania hasła dla konta pocztowego, co wiązało się z wysłaniem tokena weryfikacyjnego na telefon. Poprzez lukę w SS7 badacze przejęli token i uzyskali dostęp do Gmaila. Następnie dysponując kontem pocztowym ofiary zresetowali hasło do online’owego portfela Coinbase, zalogowali się do niego i przelali jego zawartość na swój adres.

Było to po prostu publiczna demonstracja tego, co wiemy przynajmniej od maja br. Wtedy to niemieckie media przyznały, że wykradziono kodu uwierzytelniające przesyłane klientom bankowości elektronicznej poprzez sieć operatora O2-Telefonica. 36-letni standard po prostu jest po prostu dziurawy jak sito, żądania nim wysyłane nie są w żaden sposób weryfikowane – każdy, kto ma dostęp do węzła sieci SS7może wyciągnąć z niej wszystko.

r   e   k   l   a   m   a

W maju Google rozpoczęło testy usługi Google Prompt – potwierdzeń weryfikacji dwuetapowej wysyłanych bezpośrednio na telefon, poprzez funkcje wszyte we framework Google Play. Zastępuje ona kod wysyłany SMS-em zwykłym pytaniem wyświetlanym na ekranie sparowanego z usługą smartfonu – czy właśnie próbujesz się zalogować? Bez udzielenia odpowiedzi twierdzącej, nie uzyskamy dostępu.

Teraz użytkownicy włączający po raz pierwszy dwuetapowe uwierzytelnienie dla swojego konta Google (można to zrobić tutaj) będą mieli domyślnie włączoną funkcję weryfikacji przez potwierdzenia (wcześniej domyślne było wysyłanie SMS-em). Wciąż pozostaną dostępne opcje wysłania SMS-a, kodów zapasowych lub aplikacji Google Authenticator.

Użytkownicy, którzy już wcześniej korzystali z dwuetapowego uwierzytelniania, nie zauważą żadnych zmian, choć oczywiście mogą teraz się przełączyć na potwierdzenia. Zmiana nie dotknie też użytkowników korzystających z korporacyjnego pakietu Aplikacji Google, gdzie wymuszono stosowanie kluczy bezpieczeństwa. Posiadacze iPhone’ów też mogą skorzystać z potwierdzeń, pod warunkiem że zainstalują oficjalną aplikację Google.

Na koniec trzeba przypomnieć o jeszcze jednej kwestii, która chyba jednak w naszym regionie nie będzie dla nikogo już specjalnie dotkliwa. Do uzyskania potwierdzenia Google trzeba mieć w smartfonie dostęp do sieci internetowej, nie wystarczy samo połączenie z siecią komórkową.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.