Google ищет замену паролям

23.01.2013

Всемогущий Google всерьёз решил заняться безопасностью своих сервисов.  Двое сотрудников корпорации - вице-президент по вопросам безопасности Эрик Гросс и ведущий инженер с именем, которое я не буду переводить - Mayank Upadhyay к концу месяца опубликуют в посвящённом безопасности журнале IEEE Security & Privacy Magazine пространный труд. Основная мысль этого труда, по мнению журналиста Wired Роберта МакМиллана, можно выразить так - "хватит подвергать себя опасности и использовать допотопную систему аутентификации логин-пароль!"

Надо сказать, проблема назревала давно. Вычислительная мощность процессоров растёт каждый месяц, время подбора пароля злоумышленником, соответственно, сокращается. Если десять лет назад шестизначный пароль из символов и цифр считался приемлемым, то сейчас это категорически ненадёжно. Минимальная длина пароля нынче - 8 знаков, состоящих из больших и маленьких букв, спецсимволов и цифр, и никаких осмысленных слов! Если предположить наличие у хакера радужных таблиц, то и такая комбинация может не устоять за относительно короткое время.

МакМиллан в качестве примера привёл историю своего коллеги по журналу Wired Мэта Хонэна, у которого был взломан аккаунт на Google и уничтожена вся почта и фотографии за несколько лет. Кроме того, взломщики ещё и спам начали рассылать с его почтового ящика. По своему опыту скажу, что я тоже имел возможность потерять доступ к gmail. Благо, мне пришло письмо от Гугля, в котором они обеспокоились несколькими неудачными попытками войти в мой почтовый ящик. Обеспокоило их то, что обычно я захожу в него с ip-адресов, территориально находящихся в Украине, а в этот раз попытки производились с Таиландского ip. Они уточняли, я ли это забыл в Таиланде свой пароль, и если нет, то настойчиво рекомендовали его сменить. Поскольку в Таиланд я не ездил, пароль я спешно поменял, увеличив его длину.

Если даже на мой аккаунт была попытка атаки, можно только представить, каким "вниманием" пользуются учётные записи более-менее известных людей, вроде журналистов популярных IT-журналов. Видимо, в какой-то момент времени плотину прорвало, и пользователи начали предъявлять более высокие требования к защите своих данных. Google начал предлагать временное решение проблемы - двухуровневую аутентификацию. Помимо логина-пароля на указанный пользователем номер мобильного телефона высылается некоторый код подтверждения. По такой схеме, например, работает популярный в Украине интернет-банкинг Приват24. Да, это не очень удобно, но защита доступа становится значительно надёжнее.

Судя по динамике количества пользователей, заказывающих для себя у Google двухуровневую аутентификацию, люди всерьёз обеспокоены защитой своих аккаунтов. И, видимо, пора им предложить нечто более совершенное, нежели смс-ка на мобильный. Этому "нечто" и будет посвящена работа специалистов из Google. По имеющейся на данный момент информации, они отдают предпочтение специализированному носителю информации, которое будет выступать в роли ключа. Вариантов таких устройств достаточно много, но, опять же, по некоторым данным, Google выбрала в партнеры фирму Yubico с их продуктом YubiKey. Что интересно, специальное API уже встроено в Chrome, и лишь ждёт своего часа.
Упомянуто также некое "кольцо" на пальце, видимо бесконтактное, в отличие от подключаемого в USB YubiKey.

Как бы то ни было, намерения у Google, очевидно, самые серьёзные. И, если принять во внимание её вес в IT-пространстве, то вполне возможна небольшая революция в области безопасности. Поживём - увидим.



Добавить комментарий