Smartfon jako fizyczny element dwuetapowej autoryzacji. Jak to działa?
Podczas Google I/O 2019 uruchomiona została dwuskładnikowa autoryzacja, w której smartfon z Androidem jest dodatkowym czynnikiem. Przy logowaniu do dowolnej usługi Google'a, trzeba będzie podać nie tylko swoje hasło, ale też zatwierdzić logowanie na smartfonie.
Autoryzacja wymagająca dwóch czynników potwierdzających tożsamość to bardzo dobre zabezpieczenie przed atakami na nasze konta. Nawet jeśli cyberprzestępcy mają dostęp do loginów i haseł, nie mogą skorzystać z drugiego czynnika. Może być to kod przysłany SMS-em, wygenerowany w specjalistycznej aplikacji, klucz podłączany przez Bluetooth albo smartfon z Androidem.
Jak to działa?
Po pierwsze, trzeba zalogować się na smartfonie na swoje konto Google, w ustawieniach lub w dowolnej aplikacji Google. Jeśli kiedykolwiek ściągaliście aplikację z Google Play, macie już ten krok za sobą. Po drugie, trzeba na swoim koncie włączyć weryfikację dwuetapową, korzystając z tej strony i podążając za instrukcjami.
Na liście opcji dodatkowej autoryzacji trzeba znaleźć pozycję "Klucz bezpieczeństwa" i tam dodać kolejny klucz. Do wyboru będziemy mieć klucze fizyczne Bluetooth albo swój smartfon. Urządzenie mobilne musi być podłączone przez Bluetooth do komputera, by pokazało się na tej liście. Na razie ten typ autoryzacji działa tylko w przeglądarce Chrome i jej podobnych (swój klucz konfigurowałam w Operze).
Przy próbie logowania, przeglądarka pokaże informację o tym, że trzeba zerknąć na ekran smartfonu. Po odblokowaniu pokaże się prosty ekran z informacją, że ktoś w pobliżu próbuje się zalogować i pytanie, czy na to pozwolić.
Jeszcze jedna ważna uwaga - na obu urządzeniach używanych do logowania musi być włączona łączność Bluetooth i muszą one być w zasięgu. Jeśli nie jest to możliwe, mamy do wyboru kilka innych opcji: jednorazowe hasło SMS, kod generowany na smartfonie offline, lista kodów jednorazowych do wydrukowania i tym podobne. W razie utraty smartfonu należy go szybko zablokować, korzystając z innego mechanizmu logowania. W tym przypadku dobrze jest mieć inny klucz fizyczny, przechowywany w bezpiecznym miejscu albo chociaż kartkę z jednorazowymi kodami.
Dlaczego warto?
Google automatycznie blokuje większość nieautoryzowanych prób logowania na konta użytkowników, jeśli nie pasują do schematu, nawet jeśli atakujący zna prawidłowe hasło. Ostrzeżenie dostaniemy między innymi o próbie logowania z nietypowego komputera albo z drugiego końca świata, zapewne są też blokady, o których Google nas nie informuje, by nie zawracać nam niepotrzebnie głowy.
Autoryzacja dwuetapowa dodatkowo poprawi bzpieczeństwo konta, ale niektóre metody także można obejść w ataku kierowanym przeciwko konkretnym osobom. Dlatego Google zdecydował się na zastosowanie klucza fizycznego, spełniającego sprawdzone standardy bezpieczeństwa.
W swoim mechanizmie Google wykorzystał standardy opracowane przez FIDO Alliance, uznawane za najlepsze w branży. Klucze FIDO zostały docenione przez PayPal, Amazon i wielu innych. Standard wykorzystuje nie tylko publiczny klucz kryptograficzny do potwierdzenia tożsamości, ale też weryfikację adresu strony, by zapobiec atakom phishingowym. Google, jeszcze w lutym sprzedawał fizyczny klucz Titan Security Key w tym standardzie, ale obecnie możemy wykorzystać dowolny smartfon z Androidem 7.0 lub nowszym bez dodatkowych opłat.
