, ,
18.07.2017
Артемий Земляника

Google постепенно отказывается от двухэтапной аутентификации через SMS

Количество просмотров: 1201

Вернуться к списку статей
Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). Полностью данный параграф выглядит так:

«Если out-of-band верификация осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор ДОЛЖЕН убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным софтверным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера НЕ ДОЛЖНО быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в OOB недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.

Источник: xakep.ru

Вернуться к списку статей
04.06.2012
Токен это модно или необходимо?

Количество просмотров: 4759

Токены, как надежный способ обеспечения информационной безопасности, появились уже сравнительно давно. Но нельзя сказать, что они получили широкую популярность среди обычных пользователей. Многие по старинке продолжают использовать логин и пароль для идентификации.
Это тем более сложно объяснить, что токены имеют массу неоспоримых преимуществ, очень удобны и доступны. И объясняется это, видимо, очень просто: пользователи либо ничего не знают о таком методе защиты данных, либо знают мало и не совсем понимают, что это такое и зачем нужно.

10.03.2015
Веб-сайт под защитой

Количество просмотров: 4449

Сегодня веб-сайт является визитной карточкой, которая формирует первое мнение клиента о компании. Если сайт взломан или находится в запустении, то для клиентов это повод задуматься о благонадёжности фирмы. В то же время именно сайты используют конкуренты или посторонние злоумышленники для атаки на информационную систему компании.

13.10.2015 11:45:00
Защита авторского контента в интернет-СМИ с помощью решения Рутокен Web

Количество просмотров: 2932

Интернет-издание Федерального собрания РФ «Парламентская газета» внедрила двухфакторную аутентификацию для доступа к авторским аккаунтам.

22.08.2016 16:37:00
Акция “Trusted.Login - доступная авторизация”

Количество просмотров: 2314

Компания «Цифровые технологии», сравнительно недавно выпустила релиз сервиса Trusted.Login, а уже сегодня из за возросшего интереса к данному решению объявляет об акции. "Trusted.Login - доступная авторизация"

30.08.2016 15:57:00
Trusted.Gate BOX

Количество просмотров: 2207

Вступившее в силу постановление правительства  обязывает  владельцев открытых точек доступа Wi-Fi идентифицировать своих пользователей.
Тем самым, препятствовать проникновению идей  терроризма и экстремистских проявлений. Для решения этой задачи, компания  "Цифровые технологии" разработала  сервис,  
“Trusted.Gate” по средством которого происходит  идентификация пользователей в открытых сетях Wi-Fi  по номеру телефона.

07.02.2017 12:02:00
Google повысила криптозащиту G Suite и Gmail

Количество просмотров: 1596

Google ввела поддержку физических ключей безопасности в качестве второго уровня аутентификации для приложений, загружаемых с маркетплейса G Suite и  анонсировала сервис S/MIME, способный обеспечить еще один уровень безопасности в дополнение к TLS, существующему на Gmail.

16.11.2017 11:12:37
ВТБ24 в декабре внедрит идентификацию клиентов по селфи

Количество просмотров: 802

Группа ВТБ и входящий в нее ВТБ 24 планируют внедрить биометрическую аутентификацию клиентов по внешности в офисах розничной сети в декабре 2017 года. Об этом сообщает пресс-служба ВТБ24.

27.06.2013
Google Glass — инновационная технология слежения

Количество просмотров: 2592

Обращаете ли вы внимание на людей в очках, особенно солнцезащитных? Возникало ли у вас когда-либо навязчивое ощущение, что за вами пристально наблюдают? Нет? Держу пари, что ваше мнение радикально изменится после прочтения статьи специалиста по защите персональных данных Евгения Царева «Сноуден, Совет Федерации и очередной убийца конфиденциальности — Google Glass».
Эксперт в области информационной безопасности российского масштаба, Царев рассматривает новый девайс, который будет выпущен корпорацией Google в 2013 году. Google Glass, как и следует из названия, внешне будет напоминать очки, вот только функционал устройства предназначен будет не для улучшения зрительной способности. Google Glass сможет снимать фото и видео, подчиняясь голосовой команде владельца.

04.09.2012
Почему пароли как никогда слабы, а взломщики – сильны

Количество просмотров: 4613

Искусство взлома паролей в течение последних 5 лет продвинулось в развитии дальше, чем за несколько предыдущие десятилетий вместе взятых. В то же время, опасность практики повторного использования паролей выросла. В результате уровень безопасности, обеспечиваемый стандартным паролем, в 2012 году стал как никогда низким.

06.09.2012
Спамеров и интернет-преступников можно с легкостью вычислить при помощи нового алгоритма

Количество просмотров: 2627

Швейцарские ученые разработали алгоритм, с помощью которого можно определить вероятный источник онлайн-атак, используя данные всего лишь 10% сетевых соединений.

19.02.2014
Главные двигатели рынка информационной безопасности 2013/2014

Количество просмотров: 2932

Интернет-портал PC Week/RE провёл опрос среди читателей и экспертов отрасли. В центре внимания — российский рынок информационной безопасности 2013 года и его ближайшие изменения. В нашей статье мы представляем главные перспективы и проблемы отрасли.

21.08.2013
Приказ ФСТЭК № 17: комментарии экспертов

Количество просмотров: 5787

Февраль 2013 года был отмечен выпуском сразу двух Приказов ФСТЭК, оба из которых непосредственно касались защиты информации и безопасности персональных данных.Приказом ФСТЭК России от 11 февраля 2013 года № 17 были утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. IT-блогосфера буквально взорвалась от комментариев касательно этого законодательного акта. Рассмотрим самые на наш взгляд важные и полезные посты, которые помогут разобраться в Приказе, действие положений которого вступит в силу с 1 сентября 2013 года.

14.05.2012
Я бы в хакеры пошел, пусть меня научат!

Количество просмотров: 5050

Создание вирусов, организация DDoS-атак, переполнение буфера – все это будоражит ваше воображение? Но при этом присоединиться к компьютерным гениям, нарушающим информационную безопасность, не позволяют моральные убеждения? Мы знаем, как направить профессиональные знания и креативное мышление в нужное русло.

22.03.2013
Secret Disk: обзор возможностей

Количество просмотров: 3621

Потерять электронные данные легко. Они могут быть скопированы через бесплатные беспроводные сети, при ремонте в сервисном центре, в офисе или общественных местах. Вы даже не узнаете о манипуляциях… Антивирусы? Не помогут. Они не  защищают от физической кражи информации. Что будем делать?

09.06.2015 12:08:00
98% компаний подвергаются атакам киберпреступников

Количество просмотров: 2696

Управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков об основных тенденциях и перспективах развития рынка информбезопасности

22.01.2016 13:54:00
Мошенники научились воровать деньги с карт с помощью смартфонов

Количество просмотров: 2975

Выявлен новый способ хищения денег: сигналы карт с бесконтактными технологиями мошенники перехватывают с помощью специальных устройств. По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году.

18.04.2017 11:57:00
Банк России предложил создать online-базу доверенностей на основе блокчейна

Количество просмотров: 1074

Защититься от мошенников, снимающих средства с чужих счетов с помощью поддельных документов, финансовым организациям поможет блокчейн. Банк России направил Минэкономразвития и Минкомсвязи предложение о создании централизованной online-базы нотариально заверенных доверенностей на основе блокчейна.

02.11.2012
Плагин к браузерам – многофункциональный вирус?

Количество просмотров: 2256

Венгерский эксперт-антивирусник  Золтан Балаш (Zoltan Balasz) рассказал о своем детище — программе, которая служит расширением для интернет-браузеров, но при этом обладает свойствами, типичными для вредоносных утилит.

13.10.2015 11:45:00
Защита авторского контента в интернет-СМИ с помощью решения Рутокен Web

Количество просмотров: 2932

Интернет-издание Федерального собрания РФ «Парламентская газета» внедрила двухфакторную аутентификацию для доступа к авторским аккаунтам.

Возврат к списку