Google тестирует «беспарольный» вход

    Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
    Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
    Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:

    Шаг 1. Запуск браузера и переход к форме аутентификации (кнопка Sign in):



    Шаг 2. Ввод адреса почты:



    Шаг 3. После нажатия Next, система просит выполнит подтверждение входа на телефоне (обратите внимание на fallback-опцию внизу страницы- Use your password instead):



    На телефоне (Рохит пользуется Android) всплывает Push notification:



    Шаг 4. После разблокирования телефона, задается вопрос на который надо положительно ответить:



    Шаг 5. И еще один уровень проверки, на экране входа (на основном устройстве) показывается число, которое надо выбрать на мобильном устройстве:



    Шаг 6. Вход в учетную запись успешно выполнен (наконец-то!):



    Вот такие вот новшества. Лично я ожидал более простого «беспарольного» входа, но учитывая то, что это фактически уже публичная бета (Рохит обычный пользователь) предлагаемый конечный продукт так и будет выглядеть. Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным- уж точно не проще старых добрых паролей.

    P.S. На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.

    UPDATE: Как передает портал AndroidPolice, Google официально подтвердил, что привлек к тестированию новой технологии небольшую группу пользователей:
    «We've invited a small group of users to help test a new way to sign in to their Google accounts, no password required. 'Pizza', 'password' and '123456'—your days are numbered,»
    Token2.com 24,42
    Компания
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 55
      +6
      Так ведь можно войти в чужой аккаунт, пока владелец вышел и оставил телефон на столе, по крайней мере если телефон не запаролен. Или я упустил какую-то деталь?
        +12
        Наличие PIN-кода на устройстве обязательно, это проверяется при активации.
          –6
          Но ведь большинство телефонов запрашивает PIN только после перезагрузки, а в остальное время открывается просто свайпом или кнопкой. Это если специально не менять настройки на более безопасные.
            +13
            речь не про пин симки, Google говорит про screen lock или Touch ID
              +6
              Вы путаете PIN андроида с PINом сим карты.
                +5
                Теперь понятно, спасибо. Андроидом не пользовался, так что был не в курсе.
              +1
              Угу, только шанс срисовать PIN разблокировки просто по следам пальцев на экране заметно выше нулевого, к большому сожалению.
                +1
                Да даже просто подсмотреть его сильно проще. Я вот знаю графические PIN'ы большинства своих коллег. Не специально узнавал, а просто несколько раз увидел и какие-то запомнились.
                  0
                  «Покупайте телефоны с чтением отпечатков пальцев» — наверное к этому нас подталкивает гугл :-)

                  у меня кстати есть телефон со сканером отпечатков — но работает не очень надежно (например чуть влажные руки не читает, так же если покидать спиннинг пол дня — то кожа немного сотрется на пальцах — и тоже не читает)… правда возможно что это только у китайцев (телефон китайский) такая плохая реализация сканера, а на том же айфоне все наоборот работает на 5 с плюсом…
                    0
                    на том же айфоне все наоборот работает на 5 с плюсом
                    Возможно, ценой увеличения false positives (с точки зрения разблокирования)
              +5
              Поменяли шило на более безопасное мыло.
                +6
                Странно… если двухфакторная аутентификация подразумевает ввода постоянного пароля (аккаунт) и временного (смс код), то здесь для направленной атаки нужно было потрудится узнать пароль от аккаунта жертвы и каким-то образом получить контроль над его телефоном для того, чтобы перехватить сообщение. А сейчас достаточно только «обработать» телефон. Разве это не упростит задачу для злоумышленников?
                  +22
                  Лично мне проще ввести пароль, чем тянуться за телефоном.
                    +3
                    у меня так вообще смартфона нет
                      +1
                      Очень мило — прокинул аутентификацию на Pebble — настроил на подтверждение по вращению запястьем — шикарно!
                        0
                        А как там c PIN-кодом? Это приложение требует наличие «screen lock»
                          0
                          Такие вещи, например в приложении Outlook обходились кастомной надстройкой.
                          0
                          А можно по подробнее? Что за софтина?
                            0
                            Вы думаете, что комментатор попал в эту небольшую группу тестирования, сделал reverse engineering механизма на телефоне и успел написать приложение для pebble? :)
                              0
                              Нет, я думал, что есть какая-то софтина, которая позволяет слать кастомные действия на телефон с помощью Pebble :)
                        0
                        А что за приложение используется на телефоне? Что-то родное-встроенное-андроидное, или его еще установить надо?
                          0
                          Похоже что что-то встроенное, необходимость установить какое либо приложение нигде не упоминается
                            0
                            Скорее всего это приложение будет встроено в Google Play Сервисы. Там много всего есть и для многого используется.
                              0
                              Скорее всего это лаунчер Google / Google Now
                              +1
                              Нечто подобное есть у Теле2 — авторизация в личном кабинете с помощью ввода числа в USSD запрос. Очень удобно.
                                +8
                                Вместо двухфакторной авторизации 0 факторная. Ну нет уж, гугл, спасибо.
                                  –1
                                  Интересно… Буквально неделю назад обновилось мобильное приложение Приват24 и теперь вместо кода из СМС, для подтверждения входа, нужно просто нажать в приложении одну кнопочку. Правда, ввод номера телефона и пароля на сайте никто не отменял.
                                    0
                                    У Промсвязьбанка тоже так с недавнего времени. Бонусом все информирование тоже приходит в виде push-уведомлений, а не в виде SMS.
                                      0
                                      Ага. Сначала было обрадовался, а потом пришлось отключить. Программа финансового учёта которой я пользуюсь умеет парсить смс от банков и автоматически учитывать транзакции. А с push обламалось…
                                    0
                                    Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным

                                    По-моему, все очевидно. Гугл будет больше знать о нас. Какими компьютерами мы пользуемся, где они находятся. На десктопах многие отключают геолокацию, и Гугл это беспокоит. А в телефоне не отключают, слишком много плюшек теряется. А еще Гуглу интересно, в каких случаях мы пользуемся десктопом для почты и прочего, хотя телефон под рукой и пароль вводить не надо.
                                      +2
                                      Он как бы и так видит вход с десктопа. А смартфон хранит историю вашего перемещения. Соотнести два таймстампа как бы несложно в любом случае.
                                      +1
                                      Очевидно же что это для умных часов примочка
                                        +2
                                        А вот потерял я свой телефон. И хочу удалённо заблочить/удалить всё на нём. Но для этого нужно войти в аккаунт. А телефона нет. Можно войти в аккаунт с помощью старого доброго пароля? Тогда как же прощай 'password' и '123456'?
                                          0
                                          Наверняка можно будет войти с помощью пароля. Данный механизм, как мне кажется, сделан для защиты от некоторого класса троянов.
                                            +2
                                            обратите внимание на fallback-опцию внизу страницы- Use your password instead
                                              0
                                              Обратите внимание, я не сказал, что невозможно ввести пароль. Я сказал, что невозможно отказаться от парольной аутентификации. И раз невозможно отказаться, то фраза «пароли типа 'пароль' и '123456' — ваши дни сочтены» чисто маркетоидная. Да, предложен новый способ аутентификации (возможно удобный), но при этом возможность вводить пароль никуда не делась (и не видно способов как этого избежать в случае утери телефона). Так что вопросов с безопасностью от этого новоизобретения не убавилось (возможно и прибавилось).
                                                0
                                                Совершенно не вижу проблемы, этот способ не заменяет парольную аутентификацию, а лишь дополняет ее.
                                                  +1
                                                  Ещё раз, в исходном тексте есть фраза: 'Pizza', 'password' and '123456'—your days are numbered. Что намекает нам на решение проблемы «слабых» паролей. Однако никакого решения этой проблемы нововведение не предлагает. Поэтому я и говорю, что этот пассаж, намекающий на усиление безопасности, маркетоидная шелуха.
                                                    0
                                                    Тут все просто, Если пользователю не нужно будет каждый раз вводить пароль, то он поставит большой и надежный, будет заходить по телефону, а в случае нужды поменяет на другой. Я считаю, что наоборот, они хорошо продумали момент с человеческой ленью, поэтому это хороший и востребованный вариант
                                                      0
                                                      Тут не всё просто. По исследованиям, во время придумывания пароля пользователи думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Я думаю, что «слабые» пароли используют не только и не столько потому, что лень вводить «сильные» пароли, а в том что «сильный» пароль нелегко запомнить. А запоминать (или где-то хранить) его всё равно надо.

                                                      И в очередной раз: я никоим образом не оцениваю «хорошесть» и «востребованность» новоизобретённой аутентификации. Я всего лишь говорю, что пассаж о том, что безопасность улучшится — неверен.
                                                        0
                                                        Это уже проблемы людей. Вы прям хотите, чтобы за вас все делали. Сознательные люди оценят удобство и поставят себе более надежные пароли, если им не придеться каждый раз вводить пароль. По сути это некоторая замена LastPass и прочих менеджеров паролей. Особенно если нужно проверить почту в кафешке
                                                          0
                                                          Сознательные люди и сейчас не используют pizza и 1234567
                                            0
                                            Какая-то жесть в текущем виде. Телефон обычно блокируется не сразу, а по истечению какого-то времени, если у пользователя AndroidWear то телефон в достаточно большом от него радиусе не будет блокировать, если включён режим on body detection (или как он там называется) то украденный рюкзак даст разблокированный телефон/планшет. Да и в целом задача получить не заблокированый телефон проще чем получить пароль от учётки. Какая-то очень странная система защиты.
                                              0
                                              Но ведь атакующий не получает пароль от учетки, в случае кражи пароля. Пароль от почты то нигде не светится.
                                                0
                                                Ну да, это снимет угрозу утери пароля но речь же о безопасности данных в целом. Получив доступ до почты даже на короткое время можно например сменить пароли на подавляющем большинстве сервисов на многих из которых могут быть привязаны например банковские карты.
                                                  0
                                                  Ну это понятно, однако речь в статье именно про безпарольную авторизацию. А что мешает, например, заполучив телефон человека — просто открыть почту оттуда? Ведь там тоже почта, там тоже пароли и возможность сбросов паролей сервисов итд.
                                                  О боже мой! Я только-что нашел еще одну брешь в безопасности гугла (только гугл тут не причем, это с любым почтовиком прокатит)!

                                                  Всегда, если есть физический доступ к чему-то, то атака становится совсем другого плана. Злоумышленник тупо может заменить вам телефон на свой точно-такойже с записью пинкода, или установить на ваш телефон небольшую прогу-шпиона, которая выглядит как обычная. Да много чего может быть, если есть физический доступ, но гугл решает не эту проблему, а совсем другую — надежность паролей, вирусы и трояны, которые могут сидеть на компе жертвы и записывать пароли(например в каких-нибудь интернет-кафе) итд.
                                                0
                                                Я так думаю, что цель всего этого — защита от троянов на компьютере, а не от воров.
                                                По поводу Android Wear. Во-первых Android смартфонов в мире было продано в 2014 году около 1 миллиарда, а Android Wear — от 1 до 5 миллионов. Какова вероятность, что у жертвы будет Android Wear :)? Во-вторых все функции отключения блокировки, когда часы рядом или когда девайс на теле, опциональны. Вероятность указанных вами событий стремится к нулю.
                                                  0
                                                  Вероятность подсмотреть простенький графический код стремится к нулю?
                                                  В разделе SmartLock есть пяток опций которые как раз уменьшают количество случаев ввода пароля или PIN'а (конечно у меня нет статистики как часто люди включают эти функции).

                                                  В любом случае дело не в этом. Получить доступ к незаблокированному телефону неизмеримо проще чем узнать пароль.

                                                  P.S. Судя по апдейту в топике цель этого уменьшить количество простых паролей. Но мне кажется даже простой пароль надёжнее такого способа. Во всяком случае в нынешней реализации.
                                                0
                                                Т.е. атакующему достаточно подсмотреть четыре (обычно) цифры пин-кода на экране телефона и дождаться когда владелец свалит в туалет?
                                                  0
                                                  Хватит писать бред про подсмотренный пин код у соседа. У меня лично на смарте тот же gmail и совершенно без пароля, и если злоумышленнику нужно будет посмотреть письма и у него будет телефон — то десктопная версия ему не нужна. Тут как в поговорке — «Проблемы индейцев шерифа не волнуют»
                                                    0
                                                    Приложение онлайн-банкинга от Приватбанка как раз принесло такую же штуку с последним обновлением.
                                                      0
                                                      Тестировщику за такое могут дать по голове. Думаю его больше не позовут что-то тестировать.

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое