Иллюстрация: Google
Двухфакторная верификация, при которой пользователю помимо логина и пароля нужно дополнительно ввести код, отправленный на телефон (или показанный в приложении), долгое время существовала только в виртуальном мире. Несколько не самых известных компаний (например, Yubico и Feitian) перенесли ее в физический. Они продают небольшие устройства, похожие на брелоки, без которых не пройти множественную аутентификацию. Теперь и Google обратила внимание на защитные гаджеты.
Google стала испытывать устройства для верификации в 2017 году. Небольшие брелоки для двухфакторной верификации раздали 85 тысячам сотрудникам. Они пользовались ключами безопасности год и за это время у них не украли ни одного аккаунта. Вчера Google объявила, что устройство под названием Titan Security Key будет доступно для всех желающих – его можно купить за $20–25.
В первую очередь устройства для двухфакторной аутентификации нужны для борьбы с фишингом. Злоумышленники в этом случае присылают пользователю ссылку, которая похожа на какой-то известный сайт, но намеренно делают там незаметную опечатку (например, вместо facebook.com получается facebock.com). По этому адресу находится страница с похожим дизайном. Жертва, не подозревая этого, вводит там свои данные, которые получает злоумышленник. С помощью логина и пароля он попытается получить доступ к аккаунтам, но верификация этого не позволит – придется получить второй код.
Ключ, похожий на маленькую флешку, доступен в двух вариантах – с USB для компьютеров (то есть устройство для верификации нужно вставить в USB-разъем, а потом нажать на кнопку) и c Bluetooth для смартфонов или планшетов. Titan работает на протоколе, одобренном FIDO – альянсом, который создает стандарт для аппаратного средства аутентификации (туда входят, помимо Google, Visa, Microsoft, Samsung, LG и другие).
