Как стать автором
Обновить

Комментарии 14

в случае потери телефона токен можно перенести на новое устройство из облака.

\begin{irony}
Максимально безопасно
\end{irony}

Телеграм же считается безопасным, хотя концепция та же

Считаться, не значит быть.

Вот веселуха начнётся когда "особо продвинутые" сервисы будут делать это единственно возможным вариантом авторизации.

Ну и хорошо было бы давать ссылку (например эту), поясняющую желающим, что речь далеко не только о телефонах, а также далеко не только об упомянутых в статье (новости?) компаниях и продуктах.

То есть, при отсутствии сотовой сети (в лесу, в горах, вдали от цивилизации) нельзя будет включить ноутбук?

Это же про авторизацию в интернет-сервисах. На самих устройствах авторизация "без пароля" и так работает много лет как.

На винде то? Зашел в безопаску, сделал cmd на логинскрине и создал новую учетку ;D

А при чём тут сотовая сеть? Смартфон связывается с ноутбуком по Bluetooth.

По сути, это эмуляция аппаратного ключа типа YubiKey. Покупать ключ пользователь не хочет, а вот смартфон у пользователя очень часто уже есть.

Сейчас типичная двухфакторная авторизация выглядит так: сначала я ввожу логин и пароль (первый этап), затем разблокирую смартфон (промежуточный этап), затем генерирую код OTP-приложением на смартфоне (второй этап). Проблема в том, что:
— постоянный пароль и одноразовый код подвержены фишинговым атакам
— это существенная трата времени (ввести пароль, разблокировать смартфон, запустить приложение, иногда ещё и разблокировать вход в приложение, прочитать код, ввести код). Это, блин, банально долго, причём, заметную часть этого процесса занимают действия, с безопасностью не связанные (запуск приложения, считывание глазами кода, запоминание его в уме, ввод)

Что если можно как-то ускорить этот процесс, не снижая стойкость защиты?

Предлагаемая схема решает обе проблемы, убирая пароль вовсе. При этом, авторизация остаётся двухфакторной:
— у меня есть то, что я знаю (пин-код разблокировки смартфона)
— у меня есть то, что я имею (смартфон)
Проще говоря, если я могу разблокировать свой смартфон, то не надо меня заставлять дальше открывать аутентификатор и переносить допотопным аналоговым способом (с помощью глаз, мозга и пальцев) код из смартфона в веб-приложение. Зачем эти лишние телодвижения?

Причём, уже были попытки это упростить. Например, когда вы входите в учётку Google, то вам достаточно разблокировать свой Android-смартфон с сервисами гугла и нажать кнопку «да, это я». А теперь будет ещё чуть быстрее и удобнее: во-первых, кнопку нажимать не нужно, во-вторых, сервисы гугла не нужны (и они не у всех есть), в третьих, это сможет работать с любым ресурсом, поддерживающим FIDO, а не только с ресурсами гугла.

FIDO отбрасывает первый фактор из "что я знаю", "что у меня есть" и "кто я". С одной стороны, избавляют от записанных на бумажках и менеджеров паролей в угоду массового сбора биометрии. Сброс кредов усложнится.

Что я знаю? Пин-код экрана блокировки.
Кто я? Человек с вот таким отпечатком пальца.
Что у меня есть? Доверенное устройство.

Если вас не устраивает биометрия, то не используйте её, разблокируйте смартфон кодом, как и раньше.
достаточно будет разблокировать его с помощью биометрических данных, PIN-кода или графического ключа.

Я, например, не использую биометрию, поскольку «человека можно оглушить, напоить, усыпить… наконец, с трупа», но это же не значит, что у меня смартфон не заблокирован.

Пинкод оставляет следы на экране, видимые взглядом.

Речь о протоколе. Он исключил память человека. Ожидаемо но как то обидно.

А какой там сценарий на случай поломки телефона?

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории