Спонсор публикаций Life-Hack [Жизнь-Взлом]

Life-Hack Уникальный, авторский и единственный в своём роде. Рассказывает самые свежие новости из кибер мира. Познакомит вас с кучей полезного софта и расскажет про darknet

Одним из лучших способов улучшения безопасности аккаунта Гугл — это задействование двухшаговой верификации для него. Суть идеи в том, чтобы комбинировать обычные имя пользователя и пароль локальной информацией привязанной к мобильному телефону.

Т.е. вместо того, чтобы вводить вашу Гугло почту и пароль для авторизации в вашем аккаунте, вам также необходимо ввести код, сгенерированный на лету, когда вы авторизовываетесь с недоверительных устройств.

Атакующие, которые завладели именем пользователя и паролем не могут авторизоваться

без этого кода.

Google анонсировала поддержку Секретного Ключа сегодня (21 октября) для дальнейшего улучшений двухшаговой верификации в некоторых сценариях.

Вместо ввода кода, сгенерированного сматрфоном, вы подсоединяете устройство Секретного Ключа к USB порту вашего компьютера.

Здесь техническое объяснение, как это сделано:

В основе протокола устройство U2F (аббревиатура означает «Universal 2nd Factor») которое имеет возможность (идеально, если встроенную в элемент безопасности) выпускать специфичные открытые/закрытые пары ключей. Устройства U2F даёт публичный ключ и Ручной Ключ (Key Handle) к исходному веб-сайту во время того когда пользователь находится на шаге регистрации. Позже, когда пользователь осуществляет вход, исходный веб-сайт отправляет Ручной Ключ назад к устройству U2F через браузер. Устройство U2F использует Ручной Ключ для идентификации пользовательского закрытого ключа и создаёт подпись, которая отправляется обратно к источнику для верификации наличия устройства U2F.

google-account-security-key

Этот метод предлагает три особенных преимущества по сравнению с использованием смартфонов для генерации кода:


Спонсор публикаций BlackDiver

Обучение тестированию на проникновение  - Обучению тестированию на проникновение от BlackDiver. Базовый курс

  1. Секретный Ключ только работает с веб-сайтами, которые поддерживают работу с ним. Он не будет авторизовать ваш аккаунт на фишинговых (мошеннических) веб-сайтах, если верить Гугл, т. к. он проверяет сайт на котором вы находитесь до того, как отправить дополнительный код на него.
  2. Это не требует дополнительной батареи для мобильного соединения и не требует установки драйверов на хост-системе.
  3. Если верить Гугл, вы можете использовать верификационный код в любое время. Это удобно если вы входите на устройстве, которое не поддерживает USB или не имеете Секретного Ключа при себе в это время.

Но есть также и недостатки этого, которые также нужно упомянуть:

  1. Вы не можете использовать это на устройствах, которые не поддерживают USB. Если вы используете мобильные телефоны и планшеты большинство времени, вы, может быть, не сможете использовать этот метод, т. к. они не имеют порта USB, к которому вы могли бы подсоединить ключ.
  2. Вам нужно совместимое устройство, которое необходимо купить. Вы не можете использовать просто USB флешку для этого. При этом скажем, устройства дешёвые и цена начинается от примерно $6 на Amazon.
  3. Ключ Безопасности, в момент написания, работает только в Google Chrome. Чтобы быть точным, ему нужен Chrome версии 38 или новее на всех поддерживаемых операционных системах.

Если в вашем обладании уже есть совместимое устройство с Ключом Безопасности, вы можете направиться в аккаунт Google через страницу двухшаговой верификации для его настройки.

Обратите внимание, что вам нужно загрузиться в Хроме, иначе вы получите сообщение, что ваш браузер не поддерживает эту функцию.

Получите больше информации о проекте U2F на Гугловском веб-сайте Исследований Интернет Идентификации (Internet Identity Research).


Генеральный партнер codeby Genesis Hackspace

Genesis HS  - физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди.

Похожие темы

Найдена уязвимость SSL 3.0. Как защитить себя?... Уязвимость безопасности в SSL 3.0 была открыта Бобо Мёллером (Bodo Möller) и двумя другими работниками Гугл. Уязвимость позволяет вычислить сет...
Ещё один способ взлома почты — подвох откуда не жд... Про кражу паролей от почты, о взломе почты я уже писал. Например в статье «Как воруют пароли от почты». Я недавно вспоминал эту статью и...
Веб поисковики: из двух цензур выбираем меньшую... Самое трудное — это признавать то, что был неправ. Трудно перед другими, а иногда ещё труднее перед самим собой. Именно этим я и буду занимать...
Как скачать и отредактировать контакты Google... Google ведет список ваших контактов автоматически, если вы используете такие продукты компании как Gmail, Google Plus и другие. Со временем спис...
Гугл блокирует Bit.ly: вовлечены Хром и Файерфокс... Bitly — это популярные сервис по укорочению url ссылок, которые широко используется и согласно Alexa входит в верхушку 4000 в мире. Он может б...