Будущее аутентификации: опыт использования двухфакторных USB токенов от Google

27.07.2018     

Ни один из 85 тысяч сотрудников Google не пострадал от фишинга после введения обязательной системы двухфакторной аутентификации с помощью USB токенов. В чем особенности U2F, и где еще используется эта технология – в нашем материале.

Новый подход

В начале 2017 года компания Google ввела в качестве обязательного стандарта для сотрудников аутентификацию U2F с использованием USB токенов вместо паролей и одноразовых кодов.

Классический способ двухфакторной аутентификации 2FA, используемый в системах вроде Google Authenticator, предполагает, что для входа пользователю кроме стандартного пароля нужен одноразовый код, полученный через SMS, голосовое сообщение или мобильное приложение. Код при этом меняется через короткие промежутки времени. Однако инфраструктура мобильной связи бывает уязвима и позволяет злоумышленникам перехватить этот код. Так взломали аккаунты Telegram российских оппозиционеров в 2016 году. Передавать код через мобильное приложение безопаснее, но остается возможность перехватить его на этапе генерации или через подставной сайт.

Аппаратные токены U2F работают иначе. Пользователь подключает флэшку и вводит пароль, после этого токен проверяет данные сайта, чтобы удостовериться в его надежности, и самостоятельно вводит генерируемый код.

После того, как устройство зарегистрировано для определенного веб-сайта, который поддерживает ключи безопасности, вводить пароль больше не нужно. Он понадобится, если пользователь попытается получить доступ к той же учетной записи с другого устройства.

Безопасность превыше всего

Пресс-секретарь Google сказал, что доступ к учетным записям сотрудников теперь основан на аппаратных токенах: «У нас не было никаких подтвержденных хищений аккаунтов с момента внедрения ключей безопасности в Google».

В будущем многие сайты начнут использовать API-аутентификацию – WebAuthn стандарт, поставленный консорциумом World Wide Web в сотрудничестве с Альянсом FIDO. Преимущество WebAuthn заключается в том, что он избавляет пользователей от необходимости постоянно вводить пароли. Методы кражи вроде фишинга и «атаки посредника» больше не сработают.

U2F уже поддерживается браузерами Chrome, Mozilla Firefox и Opera. Microsoft заявляет, что планирует выпустить обновления своего флагманского браузера для поддержки U2F в конце этого года. Apple пока не раскрывает, собирается ли встраивать новый стандарт в Safari.

Наш ответ Чемберлену

В то время как Google, Microsoft и другие ИТ-гиганты постоянно работают над все более надежными методами аутентификации, в России продолжают активно внедрять не менее совершенную технологию на базе биометрических данных. Однако, в отличие от паролей и USB токенов, доступ к биометрическим данным пользователей будет не только у государственных структур и банков, но даже у коллекторских фирм. И, рискну предположить, что коллекторы далеко не последние в очереди за этой информацией.


Автор:
Сергей Кравченко Обозреватель


Какой вид аутентификации надежнее?


U2F – через USB токен (73.33%, 11 голосов)
73.33%
Биометрия (20%, 3 голосов)
20%
2FA – двухфакторная через код (6.67%, 1 голосов)
6.67%
Не знаю (6.67%, 1 голосов)
6.67%
Свой вариант (0%, 0 голосов)
0%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. citicat 119 27.07.18 08:38 Сейчас в теме
"И, рискну предположить, что коллекторы далеко не последние в очереди за этой информацией."

В переводе с русского на русский звучит так:

"Палача вызывали?"

Тогда платите за ложный вызов в тройном размере!"
SKravchenko; +1 Ответить
Оставьте свое сообщение

См. также

МТС получил первую в России лицензию на развитие сети 5G

Новость ИТ-новость Новости компаний Телекоммуникации

Роскомнадзор предоставил МТС лицензию на строительство сети 5G по всей территории России — в 83 из 85 субъектов. Срок действия лицензии - до лета 2025 года. Для развития сети были выданы частоты от 24,25 до 24,65 ГГц.

сегодня в 15:25    181    user-programmist    1       

Работа с большими данными во всем мире должна регулироваться профстандартом

Новость Искусственный интеллект ИТ-новость

Британское компьютерное общество (BCS) вместе с Королевским статистическим обществом (RSS) и Королевской инженерной академией (RAEng) начали работу по созданию профстандартов в отрасли больших данных (BigData).

сегодня в 13:21    193    SKravchenko    2       

GitHub представил дорожную карту развития сервиса

Новость GitHub ИТ-новость

GitHub будет лучше знакомить разработчиков с грядущими обновлениями сервиса при помощи публичных дорожных карт. Пользователи смогут влиять на выполнение запланированных улучшений и помогать им продвигаться вперед по карте.

сегодня в 11:33    222    VKuser24342747    0       

IEEE опубликовал свежий рейтинг языков программирования

Новость ИТ-новость Языки программирования

Институт инженеров электротехники и электроники IEEE Spectrum недавно опубликовал свой рейтинг языков программирования за 2020 год. Как и в последние несколько лет Python снова лидирует, но есть и несколько сюрпризов.

вчера в 13:26    523    SKravchenko    1       

Facebook запускает конкурента Zoom

Новость ИТ-новость Мессенджеры Новости компаний

23 июля Facebook объявил, что расширяет возможности Messenger Rooms и Facebook Live, – теперь пользователи могут организовывать онлайн-совещания с участием до 50 человек.

03.08.2020    433    SKravchenko    0       

Виртуальные фанаты заполнят пустые стадионы

Новость Искусственный интеллект ИТ-новость Телекоммуникации

Из-за пандемии COVID-19 сто двадцатый сезон в истории главной лиги бейсбола США пройдет с пустыми стадионами. Но Fox Sports для своих трансляций будет заполнять трибуны виртуальными фанатами с цифровой визуализацией.

31.07.2020    528    SKravchenko    2       

Начался выпуск российских материнских плат для ARM-процессоров «Байкал»

Новость Импортозамещение ИТ-новость Микроэлектроника

Первую российскую материнскую плату для нового ARM-процессора Baikal-M представили компании «Байкал электроникс», «Эдельвейс» и «Базальт СПО». Ориентировочная стоимость платы – 50 тыс. рублей.

30.07.2020    645    user1015646    3       

Банки оценили переход на отечественное ПО в сотни миллиардов рублей

Новость Банки ИТ-новость Цифровая экономика

Российские банки пересчитали планируемые расходы на внедрение отечественных программ. Затраты финансовых учреждений могут составить до 150 млрд рублей.

30.07.2020    448    VKuser24342747    0       

Молодые сотрудники используют больше разных приложений для работы

Новость Автоматизация Аналитика ИТ-новость

Исследование, проведенное консалтинговой фирмой Creative Strategies по изучению сотрудничества, показало значительные различия в стиле и подходе к работе у разных возрастных групп.

29.07.2020    740    SKravchenko    0       

Microsoft представила утилиту для мониторинга процессов в Linux

Новость Linux ИТ-новость Новости компаний

Компания Microsoft выпустила утилиту ProcMon (Process Monitor) для Linux. Программное обеспечение распространяется под открытой лицензией MIT. Ранее ProcMon была доступна только для Windows.

29.07.2020    631    user1015646    2       

Google сделает Android Go обязательной на устройствах с ОЗУ меньше 2 ГБ

Новость Google ИТ-новость Мобильные приложения

С октября 2020 года на все новые Android-устройства, имеющие объем ОЗУ 2 ГБ и менее, Google заставит устанавливать Android Go – модифицированную версию Android для устройств начального уровня.

28.07.2020    1530    SKravchenko    0       

Google Cloud представил новые средства безопасности

Новость Google Безопасность ИТ-новость

Облачная платформа Google Cloud разработала новые инструменты для обеспечения безопасности. Они ориентированы на крупные коммерческие компании, банки и государственные учреждения.

28.07.2020    603    user1015646    0       

ПК на Windows могут перейти на ARM-процессоры

Новость Windows Mac OS ИТ-новость Микроэлектроника

22 июня Apple объявила о переходе Mac на процессоры собственного производства на базе архитектуры ARM. Первые системы появятся к концу года, начав двухлетний переходный период.

24.07.2020    1202    SKravchenko    1       

Разработчики GitHub представили GCM Core – инструмент универсальной аутентификации для Git-серверов

Новость GitHub ИТ-новость

Git Credential Manager Core – это кроссплатформенный инструмент, который может стать альтернативой традиционной HTTPS- или SSH-аутентификации для Git-серверов. Планируется, что в будущем он заменит существующие утилиты аутентификации для Windows, macOS и Linux.

24.07.2020    1052    user1015646    1       

Google выпустила большое обновление Chrome

Новость Google Безопасность Интернет Интерфейсы ИТ-новость

14 июля Google выпустила стабильную версию браузера Chrome 84 Desktop для Windows, Mac и Linux. Новый Chrome получил поддержку Web OTP API, ярлыки PWA и умеет блокировать навязчивые уведомления.

23.07.2020    1177    SKravchenko    0       

GitHub разместил пленочный архив открытого кода в арктическом хранилище

Новость GitHub ИТ-новость

GitHub завершил масштабный перенос архива открытого исходного кода в хранилище Arctic World Archive. Данные будут храниться в виде фотоснимков на пленочных накопителях.

22.07.2020    934    VKuser24342747    2       

Денег нет: «Сколково» прекратило выдавать некоторые гранты до 2021 года

Новость ИТ-новость Минфин Стартапы Цифровая экономика

Фонд «Сколково» приостановил выдачу грантов за деньги Минфина. Высокотехнологичные компании смогут претендовать на финансирование только в следующем году.

21.07.2020    963    VKuser24342747    1       

Docker и Amazon Web Services провели взаимную интеграцию инструментов разработчика

Новость Интеграция ИТ-новость Новости компаний

Docker и Amazon вышли на новый этап партнерства. Компании завершили двустороннюю интеграцию инструментов разработчика: Elastic Container Service (ECS) и ECS on AWS Fargate A293; со стороны Amazon; Compose и Desktop developer – со стороны Docker.

20.07.2020    817    user1015646    0       

Министерство связи запустит единую платформу «Гостех» до конца 2021 года

Новость Законодательство ИТ-новость Минкомсвязь

Минкомсвязь определила правила проведения эксперимента по созданию единой цифровой платформы «Гостех». Поставщик и оператор системы до сих пор не назван.

17.07.2020    973    VKuser24342747    0       

Microsoft не планирует поддерживать PHP 8.0 для Windows

Новость Windows Интернет ИТ-новость Новости компаний

Инженер Microsoft Дейл Хирт объявил, что Microsoft не будет больше поддерживать сборки Windows для языка сценариев PHP начиная с версии 8.0 и выше. Но компания планирует пока «продолжить разработку и сборку PHP под Windows для 7.2, 7.3 и 7.4».

17.07.2020    976    SKravchenko    1       

«Яндекс» и Mail.ru по поручению правительства разработают аналог Zoom

Новость Mail.Ru ИТ-новость Минкомсвязь Новости компаний Облачные технологии Яндекс

Минкомсвязь совместно с российскими ИТ-компаниями хочет создать отечественного конкурента Zoom. В ведомстве убеждены, что России необходимо иметь свое приложение для видеоконференций.

16.07.2020    1242    VKuser24342747    4       

Amazon запустил сервис Honeycode для создания приложений без кода

Новость Интерфейсы ИТ-новость Новости компаний Облачные технологии

Новый сервис под названием Honeycode позволит клиентам Amazon Web Services без какого-либо опыта программирования создавать собственные приложения

16.07.2020    1116    SKravchenko    1       

Оператор маркировки запустил роуминговый обмен с ЭДО Лайт

Новость Infostart Software Partners Маркет Маркировка

К электронному документообороту от «Честного Знака», бесплатно доступному для представителей малого бизнеса, работающих с маркированным товаром, подключили роуминг с другими операторами.

14.07.2020    1800    Senator_I    0       

Создан дистрибутив Linux с рекордно быстрой загрузкой

Новость ОС Linux ИТ-новость

Разработчик Эрик Моквист представил Monolinux – дистрибутив Linux со скоростью загрузки в 0,37 с. на одноплатных ПК размером с кредитку.

13.07.2020    1178    user1015646    0       

AMD объявила о поддержке аппаратного ускорения машинного обучения в Windows 10

Новость Windows Искусственный интеллект Маркет Микроэлектроника

17 июня AMD объявила о поддержке проекта машинного обучения с ускорением на GPU в Windows 10. Это позволит пользователям и разработчикам с аппаратным обеспечением AMD получить доступ к процессам обучения ML и оттачивать свои навыки на компьютерах, которые они используют для повседневной работы.

13.07.2020    1242    SKravchenko    3