Google тестирует «беспарольный» вход +15

Один из пользователей получил приглашение протестировать новый метод аутентификации и сообщил об этом в одной из групп на Reddit.
Рохит Пол (Rohit Paul) был приглашен поучаствовать в тестировании нового метода. Сейчас для него, чтобы войти в свою учетную запись на Google достаточно просто ввести свой логин и подтвердить вход на своем телефоне.
Рохит любезно поделился скриншотами: процесс беспарольного входа выглядит так:

Шаг 1. Запуск браузера и переход к форме аутентификации (кнопка Sign in):



Шаг 2. Ввод адреса почты:



Шаг 3. После нажатия Next, система просит выполнит подтверждение входа на телефоне (обратите внимание на fallback-опцию внизу страницы- Use your password instead):



На телефоне (Рохит пользуется Android) всплывает Push notification:



Шаг 4. После разблокирования телефона, задается вопрос на который надо положительно ответить:



Шаг 5. И еще один уровень проверки, на экране входа (на основном устройстве) показывается число, которое надо выбрать на мобильном устройстве:



Шаг 6. Вход в учетную запись успешно выполнен (наконец-то!):



Вот такие вот новшества. Лично я ожидал более простого «беспарольного» входа, но учитывая то, что это фактически уже публичная бета (Рохит обычный пользователь) предлагаемый конечный продукт так и будет выглядеть. Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным- уж точно не проще старых добрых паролей.

P.S. На самом деле вход не беспарольный, пароль в данном случае заменяется на PIN телефона- наличие PIN-кода на устройстве обязательно, это проверяется при активации.

UPDATE: Как передает портал AndroidPolice, Google официально подтвердил, что привлек к тестированию новой технологии небольшую группу пользователей:

«We've invited a small group of users to help test a new way to sign in to their Google accounts, no password required. 'Pizza', 'password' and '123456'—your days are numbered,»

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (53):

  1. Marsikus
    /#8700393 / +6

    Так ведь можно войти в чужой аккаунт, пока владелец вышел и оставил телефон на столе, по крайней мере если телефон не запаролен. Или я упустил какую-то деталь?

    • paththeir
      /#8700397 / +12

      Наличие PIN-кода на устройстве обязательно, это проверяется при активации.

      • Marsikus
        /#8700473 / -6

        Но ведь большинство телефонов запрашивает PIN только после перезагрузки, а в остальное время открывается просто свайпом или кнопкой. Это если специально не менять настройки на более безопасные.

        • EminH
          /#8700481 / +13

          речь не про пин симки, Google говорит про screen lock или Touch ID

        • webportal
          /#8700483 / +6

          Вы путаете PIN андроида с PINом сим карты.

          • Marsikus
            /#8700559 / +5

            Теперь понятно, спасибо. Андроидом не пользовался, так что был не в курсе.

      • Moskus
        /#8714623 / +1

        Угу, только шанс срисовать PIN разблокировки просто по следам пальцев на экране заметно выше нулевого, к большому сожалению.

        • mak_sim
          /#8714725 / +1

          Да даже просто подсмотреть его сильно проще. Я вот знаю графические PIN'ы большинства своих коллег. Не специально узнавал, а просто несколько раз увидел и какие-то запомнились.

  2. Bytamine
    /#8700417 / +5

    Поменяли шило на более безопасное мыло.

  3. devbutch
    /#8700419 / +6

    Странно… если двухфакторная аутентификация подразумевает ввода постоянного пароля (аккаунт) и временного (смс код), то здесь для направленной атаки нужно было потрудится узнать пароль от аккаунта жертвы и каким-то образом получить контроль над его телефоном для того, чтобы перехватить сообщение. А сейчас достаточно только «обработать» телефон. Разве это не упростит задачу для злоумышленников?

  4. VioletGiraffe
    /#8700429 / +22

    Лично мне проще ввести пароль, чем тянуться за телефоном.

  5. pushlan
    /#8700443 / +3

    у меня так вообще смартфона нет

  6. DIKunin
    /#8700457 / +1

    Очень мило — прокинул аутентификацию на Pebble — настроил на подтверждение по вращению запястьем — шикарно!

    • EminH
      /#8700463

      А как там c PIN-кодом? Это приложение требует наличие «screen lock»

      • DIKunin
        /#8714135

        Такие вещи, например в приложении Outlook обходились кастомной надстройкой.

    • WerewolfPrankster
      /#8714087

      А можно по подробнее? Что за софтина?

      • TheSteelRat
        /#8714099

        Вы думаете, что комментатор попал в эту небольшую группу тестирования, сделал reverse engineering механизма на телефоне и успел написать приложение для pebble? :)

  7. ivanych
    /#8700507

    А что за приложение используется на телефоне? Что-то родное-встроенное-андроидное, или его еще установить надо?

    • EminH
      /#8700513

      Похоже что что-то встроенное, необходимость установить какое либо приложение нигде не упоминается

    • BOOMik
      /#8700561

      Скорее всего это приложение будет встроено в Google Play Сервисы. Там много всего есть и для многого используется.

    • c01nd01r
      /#8700569

      Скорее всего это лаунчер Google / Google Now

  8. c01nd01r
    /#8700567 / +1

    Нечто подобное есть у Теле2 — авторизация в личном кабинете с помощью ввода числа в USSD запрос. Очень удобно.

  9. ivlis
    /#8710825 / +8

    Вместо двухфакторной авторизации 0 факторная. Ну нет уж, гугл, спасибо.

  10. TheSteelRat
    /#8714095 / -1

    Интересно… Буквально неделю назад обновилось мобильное приложение Приват24 и теперь вместо кода из СМС, для подтверждения входа, нужно просто нажать в приложении одну кнопочку. Правда, ввод номера телефона и пароля на сайте никто не отменял.

    • Vilgelm
      /#8714477

      У Промсвязьбанка тоже так с недавнего времени. Бонусом все информирование тоже приходит в виде push-уведомлений, а не в виде SMS.

      • mak_sim
        /#8714739

        Ага. Сначала было обрадовался, а потом пришлось отключить. Программа финансового учёта которой я пользуюсь умеет парсить смс от банков и автоматически учитывать транзакции. А с push обламалось…

  11. ComodoHacker
    /#8714139

    Не понятно какова цель внедрения (или даже просто тестирования) такого беспарольного входа – для конечного пользователя процесс представляется довольно неудобным

    По-моему, все очевидно. Гугл будет больше знать о нас. Какими компьютерами мы пользуемся, где они находятся. На десктопах многие отключают геолокацию, и Гугл это беспокоит. А в телефоне не отключают, слишком много плюшек теряется. А еще Гуглу интересно, в каких случаях мы пользуемся десктопом для почты и прочего, хотя телефон под рукой и пароль вводить не надо.

    • lorc
      /#8714191 / +2

      Он как бы и так видит вход с десктопа. А смартфон хранит историю вашего перемещения. Соотнести два таймстампа как бы несложно в любом случае.

  12. kabachok
    /#8714281 / +1

    Очевидно же что это для умных часов примочка

  13. ilynxy
    /#8714365 / +2

    А вот потерял я свой телефон. И хочу удалённо заблочить/удалить всё на нём. Но для этого нужно войти в аккаунт. А телефона нет. Можно войти в аккаунт с помощью старого доброго пароля? Тогда как же прощай 'password' и '123456'?

    • TheSteelRat
      /#8714819

      Наверняка можно будет войти с помощью пароля. Данный механизм, как мне кажется, сделан для защиты от некоторого класса троянов.

    • Crandel
      /#8714845 / +2

      обратите внимание на fallback-опцию внизу страницы- Use your password instead

      • ilynxy
        /#8715437

        Обратите внимание, я не сказал, что невозможно ввести пароль. Я сказал, что невозможно отказаться от парольной аутентификации. И раз невозможно отказаться, то фраза «пароли типа 'пароль' и '123456' — ваши дни сочтены» чисто маркетоидная. Да, предложен новый способ аутентификации (возможно удобный), но при этом возможность вводить пароль никуда не делась (и не видно способов как этого избежать в случае утери телефона). Так что вопросов с безопасностью от этого новоизобретения не убавилось (возможно и прибавилось).

        • Crandel
          /#8715455

          Совершенно не вижу проблемы, этот способ не заменяет парольную аутентификацию, а лишь дополняет ее.

          • ilynxy
            /#8715469 / +1

            Ещё раз, в исходном тексте есть фраза: 'Pizza', 'password' and '123456'—your days are numbered. Что намекает нам на решение проблемы «слабых» паролей. Однако никакого решения этой проблемы нововведение не предлагает. Поэтому я и говорю, что этот пассаж, намекающий на усиление безопасности, маркетоидная шелуха.

            • Crandel
              /#8715503

              Тут все просто, Если пользователю не нужно будет каждый раз вводить пароль, то он поставит большой и надежный, будет заходить по телефону, а в случае нужды поменяет на другой. Я считаю, что наоборот, они хорошо продумали момент с человеческой ленью, поэтому это хороший и востребованный вариант

              • ilynxy
                /#8715529

                Тут не всё просто. По исследованиям, во время придумывания пароля пользователи думают, в первую очередь, не о безопасности своих данных, а о простоте воспроизведения парольной комбинации в будущем. Я думаю, что «слабые» пароли используют не только и не столько потому, что лень вводить «сильные» пароли, а в том что «сильный» пароль нелегко запомнить. А запоминать (или где-то хранить) его всё равно надо.

                И в очередной раз: я никоим образом не оцениваю «хорошесть» и «востребованность» новоизобретённой аутентификации. Я всего лишь говорю, что пассаж о том, что безопасность улучшится — неверен.

                • Crandel
                  /#8715567

                  Это уже проблемы людей. Вы прям хотите, чтобы за вас все делали. Сознательные люди оценят удобство и поставят себе более надежные пароли, если им не придеться каждый раз вводить пароль. По сути это некоторая замена LastPass и прочих менеджеров паролей. Особенно если нужно проверить почту в кафешке

                  • bonifaci
                    /#8715957

                    Сознательные люди и сейчас не используют pizza и 1234567

  14. mak_sim
    /#8714435

    Какая-то жесть в текущем виде. Телефон обычно блокируется не сразу, а по истечению какого-то времени, если у пользователя AndroidWear то телефон в достаточно большом от него радиусе не будет блокировать, если включён режим on body detection (или как он там называется) то украденный рюкзак даст разблокированный телефон/планшет. Да и в целом задача получить не заблокированый телефон проще чем получить пароль от учётки. Какая-то очень странная система защиты.

    • TimsTims
      /#8714719

      Но ведь атакующий не получает пароль от учетки, в случае кражи пароля. Пароль от почты то нигде не светится.

      • mak_sim
        /#8714749

        Ну да, это снимет угрозу утери пароля но речь же о безопасности данных в целом. Получив доступ до почты даже на короткое время можно например сменить пароли на подавляющем большинстве сервисов на многих из которых могут быть привязаны например банковские карты.

        • TimsTims
          /#8714887

          Ну это понятно, однако речь в статье именно про безпарольную авторизацию. А что мешает, например, заполучив телефон человека — просто открыть почту оттуда? Ведь там тоже почта, там тоже пароли и возможность сбросов паролей сервисов итд.
          О боже мой! Я только-что нашел еще одну брешь в безопасности гугла (только гугл тут не причем, это с любым почтовиком прокатит)!

          Всегда, если есть физический доступ к чему-то, то атака становится совсем другого плана. Злоумышленник тупо может заменить вам телефон на свой точно-такойже с записью пинкода, или установить на ваш телефон небольшую прогу-шпиона, которая выглядит как обычная. Да много чего может быть, если есть физический доступ, но гугл решает не эту проблему, а совсем другую — надежность паролей, вирусы и трояны, которые могут сидеть на компе жертвы и записывать пароли(например в каких-нибудь интернет-кафе) итд.

    • TheSteelRat
      /#8714811

      Я так думаю, что цель всего этого — защита от троянов на компьютере, а не от воров.
      По поводу Android Wear. Во-первых Android смартфонов в мире было продано в 2014 году около 1 миллиарда, а Android Wear — от 1 до 5 миллионов. Какова вероятность, что у жертвы будет Android Wear :)? Во-вторых все функции отключения блокировки, когда часы рядом или когда девайс на теле, опциональны. Вероятность указанных вами событий стремится к нулю.

      • mak_sim
        /#8714833

        Вероятность подсмотреть простенький графический код стремится к нулю?
        В разделе SmartLock есть пяток опций которые как раз уменьшают количество случаев ввода пароля или PIN'а (конечно у меня нет статистики как часто люди включают эти функции).

        В любом случае дело не в этом. Получить доступ к незаблокированному телефону неизмеримо проще чем узнать пароль.

        P.S. Судя по апдейту в топике цель этого уменьшить количество простых паролей. Но мне кажется даже простой пароль надёжнее такого способа. Во всяком случае в нынешней реализации.

  15. Londoner
    /#8714523

    Т.е. атакующему достаточно подсмотреть четыре (обычно) цифры пин-кода на экране телефона и дождаться когда владелец свалит в туалет?

  16. Crandel
    /#8714851

    Хватит писать бред про подсмотренный пин код у соседа. У меня лично на смарте тот же gmail и совершенно без пароля, и если злоумышленнику нужно будет посмотреть письма и у него будет телефон — то десктопная версия ему не нужна. Тут как в поговорке — «Проблемы индейцев шерифа не волнуют»

  17. EasyX
    /#8716037

    Приложение онлайн-банкинга от Приватбанка как раз принесло такую же штуку с последним обновлением.

  18. blogopoisk
    /#8717513

    Тестировщику за такое могут дать по голове. Думаю его больше не позовут что-то тестировать.