Szó szerint kulcsra zárhatók a Google fiókok
Már USB biztonsági kulccsal is helyettesíthetjük a kétfaktoros azonosítás második lépcsőjét Google-fiókunknál. A szolgáltatás a potenciális phishing támadások ellen védekezve vezette be a módszert, amelyekkel támadók akár a mobilra küldött kódot is elhalászhatják a felhasználóktól.
Új azonosítási megoldással egészíti ki a Google a felhasználók beléptetését. A kétfaktoros azonosítás második lépcsőjeként már nem csak az SMS-ben kapott vagy mobilapp által generált kód megadására van lehetőség, ezentúl USB-kulccsal is kinyithatjuk fiókunkat. Bár a kétlépéses bejelentkeztetést számos szolgáltatás használja, és az valóban nagyságrendekkel biztonságosabb mint egyetlen - az esetek jó részében gyenge - jelszóval megvédeni az érzékeny adatokat tartalmazó profilt, a leleményesebb támadók ezt is képesek lehetnek kijátszani, elég csak a nemrég nagy botrányt kavart iCloud-kiszivárogtatásokra gondolni, ahol egyébként szintén elérhető a kétlépcsős azonosítás.
A hasonló szolgáltatások feltörésére a támadók legtöbbször különböző phishing módszereket vetnek be, azaz az eredeti vállalatéra megtévesztésig hasonló, ám hamis weboldallal próbálják meg rávenni a felhasználókat, hogy adják meg a mobil készülékükre kapott azonosítót - amellyel aztán gond nélkül behatolnak a célba vett fiókba.
Kafka és CI/CD alapozó online képzéseket indít a HWSW! Ősszel 6 alkalmas, 18 órás Kafka és CI/CD alapozó képzéseket indít a HWSW. Most early bird kedvezménnyel jelentkezhetsz!
A most bevezetett megoldás esetében ugyanakkor erre már nincs lehetőségük, hiszen az azonosításhoz használt Security Key, vagy biztonsági kulcs felismeri, hogy éppen milyen szolgáltatáshoz próbálnak csatlakozni vele és csak a hiteles weboldalakkal működik. A titkosított kulcs másik előnye, hogy adott esetben. lemerült mobiltelefonnal sem zárja ki magát a fiókjából vele az ember. A rendszeresen használt készülékeken természetesen itt sem kell minden alkalommal csatlakoztatni a kulcsot, továbbra is lehetőség van beállítani, hogy azt az első bejelentkezés után ne kérje többé a szolgáltatás.
Az eszköznek ugyanakkor hátulütői is akadnak, a Google szerint egész pontosan kettő. Először is a Security Key kizárólag a Chrome böngészőben (annak 38-as és újabb verzióiban) működik, így aki más szoftvert használ, már az első körben kiesik a potenciális felhasználói bázisból, másodszor pedig, miután alkalmazásához - értelemszerűen - egy teljes értékű USB-csatlakozóra van szükség, a módszer egyelőre mobil eszközökön sem lesz használható. Természetesen a kulcsot nem támogató készülékek, illetve szoftverek esetében továbbra is használható marad a kódos azonosítás. Security Key-ként bármilyen a FIDO U2F (Universal 2nd Factor) szabványnak megfelelő USB biztonsági kulcs használható, ezek általában már néhány dolláros áron megvásárolhatók.