Google представила улучшенную двухфакторную систему аутентификации для Gmail и других сервисов компании, использующую крохотный аппаратный токен, который будет работать только на легитимных сайтах Google.

Новый ключ безопасности призван помочь защититься от атак, которые основаны на крайне правдоподобных поддельных сайтах, разработанных для кражи учетных данных пользователя. Злоумышленники часто идут на многое, создавая поддельные сайты Gmail или Google Accounts, выглядящие в точности как настоящие. Затем они пытаются заманить или перенаправить пользователей на эти сайты с помощью фишинговых писем или другими методами, чтобы вынудить их ввести их учетные данные Google. После этого злоумышленники захватывают учетные записи.

Ключ безопасности представляет собой маленький USB-токен, соответствующий Универсальной спецификации двухфакторной аутентификации альянса FIDO. Он предназначен для пользователей, которым нужен повышенный уровень безопасности своих учетных записей. Ключ уже сейчас можно приобрести на Amazon или в других магазинах.

«Ключ безопасности представляет собой второй фактор аутентификации, который работает только после проверки того, что сайт является настоящим сайтом Google, а не поддельным сайтом, притворяющимся Google. Вместо ввода кода просто вставьте ключ безопасности в USB-порт вашего компьютера и нажмите на него при появлении запроса от Chrome. Когда вы заходите в свою учетную запись Google, используя Chrome и ключ безопасности, вы можете быть уверены, что криптографическая подпись не подделана», — написал в блоге Нашит Шах, менеджер по продуктам безопасности в Google.

Google предлагает пользователям Gmail двухэтапную проверку на протяжении примерно четырех лет. Базовая система основана на простом процессе, отправляющем пользователю на мобильное устройство короткий проверочный код, который пользователь должен ввести вместе с именем пользователя и паролем, когда заходит с нового устройства. Данная система создана, чтобы защитить пользователей необходимостью физического доступа к мобильному устройству от захвата учетных записей. Но это не обеспечивает защиту от всех видов атак, включая использование хитроумных фишинговых сайтов для кражи учетных данных.

«Для двухэтапной проверки Google требует знания чего-то (вашего пароля) и владения чем-то (вроде вашего телефона), чтобы залогиниться. Google отправляет проверочный код на ваш телефон, когда вы пытаетесь зайти, чтобы вы подтвердили, что вы — это вы. Тем не менее хитроумные злоумышленники способны создать похожий сайт, который запросит у вас проверочный код вместо Google. Ключ безопасности предлагает лучшую защиту от такого рода атак, так как вместо проверочных кодов использует криптографию и работает автоматически только с тем сайтом, с которым должен работать», — говорится в описании новой системы.

Ключ безопасности Google пока что работает только в Chrome, но, когда другие браузеры и другие сайты внедрят протокол U2F, тот же ключ безопасности будет работать и с ними.

Категории: Кибероборона