Dvoufaktorové ověřování mělo špatných pár týdnů. Nejen, že byl prominentní vývojář, Justin Williams, nucen bránit phishingový útok proti němu na PayPal a AT&T, ale je stále jasnější, že dvou tovární ověřování založené na SMS je nový vektor pro hackování.
Výsledkem je, že Google s tím něco dělá: protože dvoufaktorová autentizace založená na SMS je náchylnější k phishingu útoky - někdo může potenciálně zachytit textovou zprávu nebo klonovat SIM kartu, jak se to stalo s Williamsem společnost chce, aby lidé přepnuli na rychlé ověření:
Od příštího týdne se uživatelům SMS ve formátu 2-SV zobrazí při přihlášení výzva k vyzkoušení výzev Google. Pozvánka poskytne uživatelům způsob, jak zobrazit náhled nových toků přihlašovacích údajů Google namísto SMS, a poté zvolit, zda je ponechat povoleno, nebo se odhlásit.
Celkově se to děje, protože ověřování textových zpráv SMS a jednorázové kódy jsou náchylnější k pokusům o phishing útočníky. Spoléháním na ověřování účtu namísto SMS si mohou být správci jisti, že jejich mobilní zařízení zásady budou na zařízení vynucovány a ověřování probíhá šifrovaným způsobem spojení.
V zásadě je ověření založené na výzvě zabezpečené a nelze jej zachytit, protože probíhá prostřednictvím služeb Google Play. The pouze způsob, jakým by to mohlo potenciálně představovat bezpečnostní problém, je ten, že někdo ukradne telefon, který je registrován a přijímá 2FA výzvy od Googlu, ale je opravdu snadné zrušit registraci zařízení z libovolného webového prohlížeče, pokud by došlo k této nešťastné události nastat.
Poslouchali jste tento týden Android Central Podcast?
Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.
- Přihlaste se k odběru v kapesních obsazeních: Zvuk
- Přihlaste se k odběru ve Spotify: Zvuk
- Přihlásit se k odběru v iTunes: Zvuk
Buďte v kontaktu
Zaregistrujte se hned teď a získejte nejnovější zprávy, nabídky a další z Android Central!