Google перетворила смартфон на Bluetooth-токен для двофакторної аутентифікації

Компанія Google впровадила в свої сервіси нову форму двофакторної автентифікації, що дозволяє використовувати смартфон в якості апаратного токена. Технологія дозволяє смартфону і комп'ютеру зв'язуватися безпосередньо по Bluetooth, а не через інтернет-сервер. Поки функція працює тільки для входу в сервіси Google через браузер Chrome, але компанія вже подала код і документацію в консорціум FIDO Alliance для того, щоб функцію змогли підтримувати інші сервіси і браузери, повідомляє Venture Beat.

Традиційним методом автентифікації в інтернеті вважається введення логіна і пароля. У разі застосування складного пароля такий метод в цілому можна вважати безпечним, однак він не захищає від витоків паролів з самого сайту або комп'ютера користувача. Для підвищення безпеки досить давно використовується механізм багатофакторної автентифікації, який на даний момент підтримується більшістю великих інтернет-сервісів. При використанні такого методу пароль виступає в якості лише одного з факторів, що підтверджують, що увійти намагається саме власник аккаунта. В якості інших факторів може виступати одноразовий пароль із SMS або програми для генерації кодів, а також фізичні токени, що підключаються до комп'ютера USB або Bluetooth. Використання фізичних токенів значно підвищує безпеку акаунтів, але більшість користувачів не використовує їх через ціну і необхідність носити з собою токен.

Компанія Google вирішила реалізувати механізм двофакторної автентифікації за допомогою фізичного токена, використовуючи смартфони, які вже є в абсолютної більшості її користувачів. Google вже використовує підтвердження входу за допомогою смартфона, але ця функція зараз працює через сервери компанії - під час входу сервер Google надсилає запит на смартфон і отримує відповідь через інтернет,. У новій функції ця взаємодія реалізована через Bluetooth і відбувається локально.

Після введення логіна і пароля браузер шукає розташовані поруч пристрої і надсилає на прив'язаний до аккаунту смартфон запит. Після цього на екрані смартфона з'являється вікно з питанням, чи дійсно він намагається увійти і кнопки підтвердження або відмови. На смартфонах Google Pixel 3 і Pixel 3 XL замість кнопки на екрані для підтвердження використовується апаратна кнопка зменшення гучності, тому що вона пов'язана з чіпом Titan M, через який проходить підтвердження входу. Після підтвердження входу смартфон пересилає відповідь браузеру через Bluetooth, а не сервер Google.

Для активації функції необхідно перейти на сторінку налаштувань безпеки аккаунта Google, а потім перейти на вкладку налаштування двоетапної автентифікації і вибрати пункт «Електронний ключ». Після цього сервіс запропонує додати як електронний ключ спеціальний USB- або Bluetooth-токен, або смартфон, прив'язаний до акаунту.

Варто відзначити, що поки функція доступна лише для аккаунта Google і сумісна зі смартфонами з версією Android 7.0 і вище, а також браузером Google Chrome (а не з усіма браузерами на базі Chromium), встановленому на Windows 10, macOS або Chrome OS. При цьому функція реалізована за допомогою відкритого протоколу FIDO CTAP API і протоколу cloud-assisted Bluetooth Low Energy (caBLE), розробленого в Google. Компанія вже передала код і документацію з обох технологій фахівцям консорціуму FIDO Alliance для того, щоб у майбутньому функція стала загальногалузевим стандартом, підтримуваним популярними браузерами і операційними системами.

Раніше для двофакторної автентифікації пропонувалися інші незвичайні механізми. Наприклад, у 2017 році американські дослідники запропонували використовувати як фізичні токени звичайні предмети, що скануються за допомогою камери смартфона через спеціальний додаток. А в 2018 році компанія TypingDNA створила для браузера Google Chrome розширення, що використовує в якості другого фактора швидкість друку, інтервали між натисканнями та інші характеристики клавіатурного почерку під час введення логіна і пароля.