НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Аутентификация без паролей

Владимир Безмалый
25.12.2015 14:50:30

В дополнение к статье Сергея Стельмаха "Google тестирует вход в аккаунт без пароля" хотелось бы добавить, что Google в очередной раз игнорирует пользователей Windows Phone.
Тестирование выполняется под управлением Android и iOS.
Впрочем, это не первый раз. Приложение Authenticator для двухфакторной аутентификации пользователи смартфонов могут устанавливать исключительно под iOS и Android. Наверное, программисты Google просто не умеют писать для Windows Phone. Или на этом мысль просто заканчивается.
Хотелось бы отметить, что попытка избавить пользователя от пароля не уникальная особенность Google.
Уже некоторое время пользователи почтовых сервисов Microsoft могут использовать технологию OTP для доступа к своим аккаунтам.
Как это происходит?
На стартовой странице www.outlook.com вы можете войти, не набирая свой пароль, а используя ссылку Войти с помощью разового кода. В этом случае на заранее указанный телефонный номер вам придет СМС с паролем. Или если вы используете приложение Проверка подлинности (Authenticator), то прямо нэкране своего смартфона увидите одноразовый код, который введете в строку пароля. Этот код изменяется каждые 30 секунд.
С моей точки зрения подход Microsoft более защищен. Почему? Да потому что вы можете не использовать СМС. Особенно это важно если вы, как я, путешествуя за пределы своей Родины, в каждой новой стране покупаете местную сим-карту для экономии средств.
Я уверен, что поиски альтернативы паролям будут продолжаться, ведь оба указанных способа фактически предназначены для удобства и не исключают использование паролей.

Автор статьи – Microsoft MVP, Microsoft Security Trusted Advisor

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.12.2015 17:44:17

Цитата
Или на этом мысль просто заканчивается.


Или не хотят принимать Microsoft в «клуб», где и без неё тесно.

25.12.2015 18:47:43

Владимир, я не понял в чем подход Microsoft превосходит альтернативные. Вы пишете, что

Цитата
Да потому что вы можете не использовать СМС

А как же можно получить разовый пароль, если не по СМС? И как получить СМС на купленную местную сим-карту, если система аутентификации знает только вашу "настоящую" симку?

25.12.2015 18:56:29

1. Собственно само SMS вам не нужно. Устанавливая приложение Authenticator вы можете обойтись без него.
2. При поездке за границу гораздо удобнее пользоваться приложением как генератором разовых паролей, то есть вам нужен сам ваш смартфон без привязки к карте. То есть, я, например, первое что делаю, приезжая в страну, покупаю местную сим-карту, это гораздо дешевле. А так как я привязан не к СМС а к аппарату, то мне все равно какая сим-карта у меня установлена.
3. Я могу использовать приложение как генератор одноразовых паролей.

25.12.2015 20:12:14

Спасибо, очень интересно. Хотя мне по-прежнему здесь не все ясно. Приложение Authenticator может таким образом взаимодействовать с любым сервером аутентификации, или только с теми, которые поддерживают эту технологию?

25.12.2015 23:32:12

1. Вы устанавливаете приложение. Но, для того чтобы оно обеспечило связь вам с соответствующим сервером, верно? Для этого есть два варианта:
1.1 Вы вводите длинный пароль получаемый с сервера либо руками
1.2 С помощью QR-кода
На следующем этапе вы отсылаете на сервер полученный цифровой код. Если все сделано правильно, то хорошо, если нет - настраиваете снова.
При этом приложение обеспечивает связь только с соответствующим сервером (в частности Outlook.com)
Либо если вы используете приложение от Google, то с Google
Ну а как иначе?

26.12.2015 13:46:08

Ну конечно.
Мне кажется, что-то похожее реализовано в мобильной версии Сбербанк_Онлайн. Там есть только пятизначный цифровой пароль для входа в приложение, а потом все операции проходят автоматически без каких-либо одноразовых смс-паролей (хотя при работе через десктоп такие смс-ки на зарегистрированный в банке мой телефон приходят и содержащийся в них одноразовый пароль каждый раз нужно вводить руками). Я точно не знаю, как это у них реализовано. Возможно при работе через смартфон в фоновом режиме такие пароли присылаются и сразу же автоматически подтверждаются. Или же, как у вас, они генерируются автоматически с привязкой к ID самого смартфона и отсылаются на банковский сервер без моего участия. В первом случае в смартфоне обязательно должна быть правильная симка, а во втором, вроде бы, симка не причем, и вполне можно было бы работать с любой сим-картой. Но это все мои предположения.

26.12.2015 13:54:50

Я не живу в России и не могу ответить, похоже это или нет smile:)

26.12.2015 17:19:11

Владимир, с наступающим! smile:D

26.12.2015 17:52:34

Спасибо! Вас тоже

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии