Podczas Google I/O 2019 uruchomiona została dwuskładnikowa autoryzacja, w której smartfon z Androidem jest dodatkowym czynnikiem. Przy logowaniu do dowolnej usługi Google'a, trzeba będzie podać nie tylko swoje hasło, ale też zatwierdzić logowanie na smartfonie.

bEVafYlN

Autoryzacja wymagająca dwóch czynników potwierdzających tożsamość to bardzo dobre zabezpieczenie przed atakami na nasze konta. Nawet jeśli cyberprzestępcy mają dostęp do loginów i haseł, nie mogą skorzystać z drugiego czynnika. Może być to kod przysłany SMS-em, wygenerowany w specjalistycznej aplikacji, klucz podłączany przez Bluetooth albo smartfon z Androidem.

Jak to działa?

Po pierwsze, trzeba zalogować się na smartfonie na swoje konto Google, w ustawieniach lub w dowolnej aplikacji Google. Jeśli kiedykolwiek ściągaliście aplikację z Google Play, macie już ten krok za sobą. Po drugie, trzeba na swoim koncie włączyć weryfikację dwuetapową, korzystając z tej strony i podążając za instrukcjami.

350262800435996609

Na liście opcji dodatkowej autoryzacji trzeba znaleźć pozycję "Klucz bezpieczeństwa" i tam dodać kolejny klucz. Do wyboru będziemy mieć klucze fizyczne Bluetooth albo swój smartfon. Urządzenie mobilne musi być podłączone przez Bluetooth do komputera, by pokazało się na tej liście. Na razie ten typ autoryzacji działa tylko w przeglądarce Chrome i jej podobnych (swój klucz konfigurowałam w Operze).

350262800436127681

Przy próbie logowania, przeglądarka pokaże informację o tym, że trzeba zerknąć na ekran smartfonu. Po odblokowaniu pokaże się prosty ekran z informacją, że ktoś w pobliżu próbuje się zalogować i pytanie, czy na to pozwolić.

350262800436258753

Jeszcze jedna ważna uwaga - na obu urządzeniach używanych do logowania musi być włączona łączność Bluetooth i muszą one być w zasięgu. Jeśli nie jest to możliwe, mamy do wyboru kilka innych opcji: jednorazowe hasło SMS, kod generowany na smartfonie offline, lista kodów jednorazowych do wydrukowania i tym podobne. W razie utraty smartfonu należy go szybko zablokować, korzystając z innego mechanizmu logowania. W tym przypadku dobrze jest mieć inny klucz fizyczny, przechowywany w bezpiecznym miejscu albo chociaż kartkę z jednorazowymi kodami.

bEVafYlP

Dlaczego warto?

Google automatycznie blokuje większość nieautoryzowanych prób logowania na konta użytkowników, jeśli nie pasują do schematu, nawet jeśli atakujący zna prawidłowe hasło. Ostrzeżenie dostaniemy między innymi o próbie logowania z nietypowego komputera albo z drugiego końca świata, zapewne są też blokady, o których Google nas nie informuje, by nie zawracać nam niepotrzebnie głowy.

Autoryzacja dwuetapowa dodatkowo poprawi bzpieczeństwo konta, ale niektóre metody także można obejść w ataku kierowanym przeciwko konkretnym osobom. Dlatego Google zdecydował się na zastosowanie klucza fizycznego, spełniającego sprawdzone standardy bezpieczeństwa.

W swoim mechanizmie Google wykorzystał standardy opracowane przez FIDO Alliance, uznawane za najlepsze w branży. Klucze FIDO zostały docenione przez PayPal, Amazon i wielu innych. Standard wykorzystuje nie tylko publiczny klucz kryptograficzny do potwierdzenia tożsamości, ale też weryfikację adresu strony, by zapobiec atakom phishingowym. Google, jeszcze w lutym sprzedawał fizyczny klucz Titan Security Key w tym standardzie, ale obecnie możemy wykorzystać dowolny smartfon z Androidem 7.0 lub nowszym bez dodatkowych opłat.

Programy

Aktualizacje
Aktualizacje
Nowości
Komentarze (27)
bEVafYmL