Google тестват вход в системата им без парола

Днес google обявиха, че започват тестове за вход в системата им без парола (линк)

Идеята е доста проста, вместо email е парола въвеждате само email, и на телефона си получавате нотификация дали позволявате достъп. Ако отговорите с Да влизате в системата (през браузъра). Изглежда доста удобно, и определено премахва проблема със слабите пароли или откраднати пароли, НО…

Какво става ако телефонът ви бъде откраднат? Google обясняват, че очакват вие да сте си защитили телефона с отпечатък, парола или нещо подобно. Ами ако не сте?

Това не е решаване на проблема, това е прехвърляне на проблема на друго място. Вместо да си направите труда еднократно да си създадете добра парола, или пък да използвате някой кадърен мениджър на ключове, а от тях има страшно качествени, ще трябва цялата сигурност да се изнесе в телефона.

Не хейтя, просто искам да кажа, че ако човек НЕ се научи да спазва елементарни правила при работата с личната си информация и чип в главата да му сложат пак няма да го спаси от глупостта му.

Ето 2 хипотетични сценария, които не са ми много ясни:

  • Минавате на тази система и не използвате парола, след 1 година сте си забравили каква парола сте имали. Открадват ви телефона, искате да премахнете този телефон от списъка,но не може да влезете в системата, защото са ви откраднали телефона, и не си спомняте паролата.
  • Забравяте да си заключите телефона, или пък някой знае pin кода ви, или пък е добавил своя отпечатък в телефона ви. отивате до тоалетната, някой влиза в акаунта ви и прави бели. Ако се чудите защо ще позволите на някого да си регистрира отпечатък в телефонът ви, или ще ви знае паролата помислете малко. Ревност, измами, манипулации.

Така че, това което ще правят НЕ добавя нищо ново като ниво на сигурност, даже бих казал, че отваря нови вектори на атака. Накратко, най-сигурният начин да си опазите паролата в която и да е система, е да спазвате основна хигиена и да влагата малко мисъл в действията си.

 

17 мнения по „Google тестват вход в системата им без парола

  1. Hristo

    Целта е по-скоро да линкнат акаунтите с телефонните номера на потребителите им за по-точна идентичност. Фейса непрекъснато спамят „въведи си номера за по-сигурно“, Yahoo, MSFT… всички само това ги интересува.

  2. ウォーロック

    Миналата седмица си правих един експеримент. Направих една регистрация във фейсбук през тор, със мейл специално предназначен само за това. На следващия ден тор браузъра изрева „сайтът се опитва да ви идентифицира по канвасите“ казах му „да си го начукат“ после излезе полето за въвеждане на телефонен номер. От там нататък вход в акаунта беше невъзможен, по никакъв начин преди да се въведе телефонен номер. За телефония номер пак им казах „да си го начукат“…

  3. Мирослав

    Крадеца може да се досети за пощата която си ползвал само ако ти е откраднал лопатата ( смарфона ). Пишеш си телефона на нокията и готово 😀 . Освен това какво толкова може да стане ако ми влезнат в гъгъл акаунта? Да дизлайкнат някое видео което съм лайкнал 😀 ?

  4. Deyan

    ウォーロック нормално да изреват ,много хора които искат да останат „анонимни“ ползват Тор,включително и хахори ,кракори всякакви лоши хора.Един от начините дали някой не ти рови в нещата е идентификация,като ip например.Ако днес си ровиш от България, а 10 минути по-късно ,от Бразилия и Испания (както беше в моя случай gmail акаунта) е разбираемо да ти откаже достъп до системата, докато не потвърдиш ,че си само единия от тримата по някакъв убедителен начин.

  5. gatakka Автор

    @Мирослав за теб може да не е нещо важно, ако ти вземат акаунта, особено в България, но за някой хора това означава МНОГО.

  6. ウォーロック

    @Deyan, е какво като потвърдя от 1 от IP-тата. Останалите? Пък и ако си искам ще съм аз, не е тяхна работа 🙂

  7. Stilgar

    Специално Google ви знаят телефонните номера, не се притеснявайте. И да не сте ги давали все някой с Android ви го е записал до името, а най-вероятно и до e-mail-а

    P.S. още не мога да поствам с Edge

  8. ウォーロック

    Идеята е да няма допирни точки в акаунтите/телефоните/мейлите. Както казах, акаунта беше със специално за това направен мейл 🙂

  9. stealth

    Stilgar, разбира се, че гугъл имат телефоните, имат и някакви псевдоними към тях. Проблемът им е, че тази информация не е особено достоверна, когато идва от трети страни. Но щом собственикът на акаунт лично удостовери, че даден номер е негов, тогава вече процентът достоверни, реални данни скача доста. Те това е целта.
    На гугълци ползвам само пощата, мейл протоколите все още не искат пръстов отпечатък 😀

  10. Peter

    Като цяло много добра идея за логването без парола, но има много по-добри решения и всичко благодарение на Биткойна, които задвижи цяла нова индустрия в криптографията :)))) Накратко нещата стоят така трябва ви hardwaren device който съхранява private ключовете на публичните биткойн адреси нещо като асоц. масив. Пиша го това за да могат повече хора да се запалят и да се насочат към тази нова концепция преди съм срещал в блога ти да те питат как да чарджват кредитни карти при интеграция примерно в e-commerce сайт.
    Мисля че всеки знае английски на добро ниво и няма нужда да превеждам.

    „Osclass is an open source platform that allows you to easily create a classifieds site without any technical knowledge. Thanks to TREZOR Connect plugin, admins can now add Sign in with TREZOR button to their sites with just a few clicks and enable their users to login securely without password.“

    https://doc.satoshilabs.com/trezor-apps/osclass.html

    Просто уникално в момента в БГ има хора който ползват Trezora- hardwaren биткойн wallet само за съхранение на биткойните си, а ние като девелъпъри може да измислим доста допълнителни приложения. 🙂

    Ако някой ти открадне Trezor-a, няма как да ти разбере паролата с брут форс защото при първият грешен път на въвеждане, повторният опит е след 1 час, втоярият грешно въведен опит е след 24 часа и след третият грешен опит девайса се самоизтрива т.е унищожава всичко- пароли, биткойни изчезват в небитието, но якото е че при подобен девайс се ползва seed или така нарецените deterministic wallet-и. нещо уникално в сравнение с парола от 12 random character-a която може да се разбие доста бързо благодарение на биткойн копачка, която използва гига хаш рейт или по новите пета хаш рейт, но няма да навлизам в подробности.

    Ей това ми е любимо https://doc.satoshilabs.com/trezor-faq/_images/password_strength.png

    относно дългите пароли от рандъм чаръктъри срещу simple deterministic seed от 12 или 24 думи, които не е нужно да въвеждате всеки път ако имате хардуерен девайс като Trezor. Иска ми се да се създадът повече подобни девайси като Trezor защото е доста скъп а технологията е много иновативна и найстина решава много проблеми с дългите пароли който трябва да помним или пък ако ги съхраняваме на компа си с някаква програма от типа на 1password има опасност да бъдат откраднати чрез keyloger и други подобни зловредни програми.
    Прегледайте инормацията за това какво е seed (парола) от този линк:

    https://doc.satoshilabs.com/trezor-faq/software.html

  11. ウォーロック

    Много хубаво, само не разбрах, като го изгубиш, откраднат или спре да работи, как си влизаш в нещата после 🙂

  12. gatakka Автор

    @Charlike Mike Reagent това което се описва толкова накратко в тази статия е много стара и добре доказана техника. От над 10 години (поне аз знам от толкова) има устройства които дават тези временни кодове (tokens) и кода е валиден само 5 минути (или нещо такова).

    Този подход е доказан и работещ НО само и единствено ако канала за получаване на този токен не е компрометиран и не може да се експлойтва.

    В случая с тези хардуерни устройства използвани от много фирми самото устройство е много защитено и то не се ползва за „общи цели“, нито е вързано свободно в интернет, и е индивидуално.

    Ако ще ти пращат sms на телефона ще ми е много по-лесно да ти открадна телефона докато сме в заведение, ще влезна в акаунтите ти, ще си направя каквато злина искам да правя и ще ти върна телефона без да се усетиш (защото си пиян, заиграваш се с девойки, сещай се)

    Така че това което предлага този господин в блога не е много по-различно от това на google, просто изнасят отговорността на друго място.

    Виж, ако хакнат google скандала е голям, но ако хакнат теб google ще кажат „Еми пази си телефона, той ти е паспорта в съвременният свят“

  13. ウォーロック

    С тоя node.js внимателно, че пуснали нов ransomware на js кросплатформен 🙂

  14. Peter

    @ウォーロック не е точно парола ползваш си seed-a, който ви възтановява всичко както си е било преди.Идеята е че веднъж си въвеждаш seed-a в това хардуерно устройство и после няма нужда да я въвждаш отново, ако искаш да си провериш биткойните или да извършиш плащане и ако има e-commerce сайт, който е въвел метод за логване с Trezor няма нужда да въвеждаш парола само включваш y-вото в USB порта и се логваш 🙂 това се явява пряк компетитор на PayPal express checkout и на ЕйпълПей, затова и Ейпъл банаха повечето wallet-и за Биткойн в Appstore. Искат насила да наложат тяхната разплащателна система ама нема да стане. Long live на опън сорс технологийте 🙂
    Ако някой опита да прецака Биткойн вече има резервен вариант, който започна да набира сила 🙂 Dash pay 🙂
    Отново опън сорс криптовалута при която ще има доста голям потенциал.
    Препоръчвам да прегледаш white paper-a просто уникална идея 🙂

    https://www.dash.org/binaries/evo/DashPaper-v13-v1.pdf
    https://www.dash.org/evolution

    Макар че Биткойн успя да отхапе доста голямо парче от пазарният дял на PayPal и най-якото при Биткойн е че се използва на доста места за offline и онлайн разплащания, докато PayPal се използва масово за online разплащания. Наскоро си говорих с едни холандци и ми казаха че в Холандия можеш да си купиш храна, дрехи можеш дори да наемеш колело в Амстердам само с Биткойн в Белгия също имало доста голям възход. Гент го определят като града на Биткойна, защото навсякъде можело да се разплаща само с биткойн дори и в скъпи ресторанти 🙂
    http://www.gentbitcoinstad.be

    Биткойн успя да направи супер голямо проникване в доста пазарни ниши за много кратко време.Paypal съществува от много повече години, но не успя да се наложи като разплащателно средство за offline плащания.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *