Comments 24
Вы меня убедили, переходить на новые способы аутентификации от Гугла пока не буду. Кстати я давно уже пользуюсь мобильным аутентификатором от Гугл. Вполне удобное и надежное решение. Что Вам в нем не понравилось? Хотелось бы узнать поподробней.
Спасибо за вопрос. Я тоже долгое время пользовался этим приложением и ничего плохого о нем сказать не могу кроме того, что есть и другие аналогичные решения только с расширенным функционалом. Я начал подыскивать что-то посвежее после покупки смарт-часов на Android. Хотел найти мобильный аутентификатор, к которому можно подключить мои часы. Нашел приложение Protectimus Smart, пользуюсь им и сейчас. Плюс мне понравилось, что оно защищено PIN-кодом, есть функция подписи данных, и можно самому выбирать алгоритм генерации паролей и их длину.
А вам не страшно доверять один из двух факторов непонятному приложению с закрытым исходным кодом, разработчик которого закрыл данные WHOISGuard-ом и пользуется бесплатным SSL сертификатом от Incapsula? Как-то серьезная контора не вяжется с таким поведением. Например, Yubikey (https://www.yubico.com/) имеет EV SSL и все данные регистрации домена открыты.
Не вижу ничего плохо в использовании Incapsula. Это интеллектуальный фаервол и CDN, а значит, их решение не упадет. Что же касается закрытых WHOISGuard-ом данных, то это действительно нехорошо, нужно открывать.
Токены Yubikey мне нравятся, но при выборе генератора OTP я их не рассматривал, так как они требуют наличия USB, а я иногда вхожу с планшета. Программный же токен от Yubico как две капли воды похож на Google Authenticator: play.google.com/store/apps/details?id=com.yubico.yubioath. Соглашусь с tgilartem насчет SSL сертификата от Incapsula, но я не обращал внимание на эти нюансы при выборе токена.
В описании Google Authenticator тоже ведь указана поддержка Android Wear.
Вы успели её попробовать? Есть какие-то неудобства?
Вы успели её попробовать? Есть какие-то неудобства?
Функция поддержки Android Wear появилась в Google Authenticator сравнительно недавно. Когда я пользовался ним, такой возможности еще не было. Потому и перешел на Protectimus Smart. Пользуюсь смарт-часами постоянно, пока никаких недостатков или глюков не заметил. Посмотрел на FreeOTP, который Вы предлагаете ниже, и заметил, что и в нем, как и в Google Authenticator цифры пишутся слитно, а в моем токене они разделены по парам, что очень облегчает ввод одноразового пароля. Мелочь, но приятная.
Про цифры «по парам» я уже и сам думал. Да и иконка у FreeOTP, мягко сказать, «не ахти».
Благо исходники открыты — fedorahosted.org/freeotp
Можно и под себя собрать, и pull request отправить.
Вот уже и поддержку Android Wear кто-то добавил: fedorahosted.org/freeotp/ticket/60
Благо исходники открыты — fedorahosted.org/freeotp
Можно и под себя собрать, и pull request отправить.
Вот уже и поддержку Android Wear кто-то добавил: fedorahosted.org/freeotp/ticket/60
Лично меня напрягал устаревший дизайн (Гугл обновил его совсем недавно).
А также неудобство различия учётных записей, когда их больше одной — серый мелкий текст под кодом.
Сравните: Google Authenticator и FreeOTP
Последней, в итоге, и пользуюсь.
А также неудобство различия учётных записей, когда их больше одной — серый мелкий текст под кодом.
Сравните: Google Authenticator и FreeOTP
Последней, в итоге, и пользуюсь.
Рано судить о том, что только находится на стадии разработки. Ваши аргументы вполне логичны, но может Гугл еще не раскрыл все карты и в итоге у них получиться достойное и безопасное решение. Лично мне их идея нравится.
Безусловно, все возможно. Надеюсь, что Гугл нас удивит и создаст что-то революционное. Идея хорошая, если рассматривать ее с точки зрения удобства входа в аккаунт. Я лишь хотел сказать, что двухфакторной такую аутентификацию назвать сложно, так как по сути своей она останется однофакторной. Проверяется или фактор владения смартфоном, или фактор знания пароля (если телефона нет под рукой). Но не оба сразу.
В вопросе аутентификации всегда приходится чем-то жертвовать, или безопасностью, или удобством. Думаю, Гугл решил дать нам выбор. Кто помешан на защите данных будет и дальше пользоваться аутентификатором, кому хочется упростить себе процесс, выберет новинку.
Цитата из другой новости на хабре:
Поэтому не только владеть телефоном, но и знать PIN-код.
На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.
Поэтому не только владеть телефоном, но и знать PIN-код.
Ну как сказать. Есть же ещё всякие trusted places / trusted devices. С ними и PIN можно не знать.
Да и PIN / pattern можно по отпечаткам на экране подсмотреть.
Да и PIN / pattern можно по отпечаткам на экране подсмотреть.
Для злоумышленника остается еще одна лазейка. Сообщить системе, что телефон утерян, и зайти при помощи обычного пароля, который он может узнать используя фишинг, социальную инженерию или брутфорс. Такого быть не должно, если мы хотим называть аутентификацию двухфакторной, то при утере одного фактора (телефона или токена) процесс восстановления доступа к аккаунта должен быть сложнее.
1. То же самое можно сказать и про хардверный токен, что второй фактор это факт доступа к токену. Поэтому считаю вашу логическую цепочку — не корректной.
2. Уверен, что в релиз версии такого не будет, как этого нет в гугловской актуалной 2-х факторной аутентификации.
3. Опять же, как мне кажется, притянуто за уши. По такой логике, можно утверждать, что уже сейчас есть возможность выбрать путь взлома, т.к. пароли от жмайла уже хранятся и на смарфоне и на таблете и на часах и т.д.
Думаю стоит относится к этому способу аутентификации как у эволюции способа с токеном, только вместо того чтобы в ручную вводить цифры с одного дисплея на другой — процесс автоматизирован.
2. Уверен, что в релиз версии такого не будет, как этого нет в гугловской актуалной 2-х факторной аутентификации.
3. Опять же, как мне кажется, притянуто за уши. По такой логике, можно утверждать, что уже сейчас есть возможность выбрать путь взлома, т.к. пароли от жмайла уже хранятся и на смарфоне и на таблете и на часах и т.д.
Думаю стоит относится к этому способу аутентификации как у эволюции способа с токеном, только вместо того чтобы в ручную вводить цифры с одного дисплея на другой — процесс автоматизирован.
1 — Да, хардверный токен — это один из факторов доступа к системе (фактор владения), но одного его не достаточно для входа в систему, нужно предварительно ввести логин и пароль (фактор знания). Тогда получится двухфакторная аутентификация. Новый метод аутентификации, предлагаемый Гуглом предполагает использование или одного телефона, или оного пароля, потому я считаю его не совсем двухфакторным.
2 — Надеюсь на это. Мои наблюдения основаны только на той информации, которую мы имеем сейчас.
3 — Возможно, так оно и есть, потому одно из основных направлений развития информационной безопасности сегодня — это защита мобильных устройств от вирусов.
2 — Надеюсь на это. Мои наблюдения основаны только на той информации, которую мы имеем сейчас.
3 — Возможно, так оно и есть, потому одно из основных направлений развития информационной безопасности сегодня — это защита мобильных устройств от вирусов.
Парни из гугла подошли к решению проблем хранения множества паролей с другой стороны. По сути данный метод был с нами очень давно — запоминания паролей в браузере с сохранением данной информации в облаке. Это было не удобно. Теперь они делают тоже самое но убрав промежуточные звенья.
Правда я бы не доверил гуглу ниодного своего запароленного ресурса, но это мое личное дело.
Правда я бы не доверил гуглу ниодного своего запароленного ресурса, но это мое личное дело.
UFO just landed and posted this here
Возможно Вы правы. Но недавно прочитал такое мнение:
“В целом логично, что одно авторизованное подключение может разрешать другие подключения. Но это может привести к забыванию пароля. Чем чаще его вводишь, тем более автономным становишься. И вдруг телефон забыл дома, сидишь в гостях, хочешь отправить письмо или что-то такое? А пароль не помнишь, потому что ввёл его раз в жизни.”
Сложный пароль сложно и запомнить. Соглашусь с Вами, что люди ленивы. Обычно мы такие пароли записываем на листочке или в лучшем случае храним в менеджерах паролей, которые тоже уязвимы.
“В целом логично, что одно авторизованное подключение может разрешать другие подключения. Но это может привести к забыванию пароля. Чем чаще его вводишь, тем более автономным становишься. И вдруг телефон забыл дома, сидишь в гостях, хочешь отправить письмо или что-то такое? А пароль не помнишь, потому что ввёл его раз в жизни.”
Сложный пароль сложно и запомнить. Соглашусь с Вами, что люди ленивы. Обычно мы такие пароли записываем на листочке или в лучшем случае храним в менеджерах паролей, которые тоже уязвимы.
2 телефона — двух факторная идентефикация!
Почти как в кино, где красную кнопку разблокируют одновременным поворотом двух металлических ключей.
Почти как в кино, где красную кнопку разблокируют одновременным поворотом двух металлических ключей.
Sign up to leave a comment.
Новинка от Google. Безопасна ли аутентификация без ввода пароля?