Bezpieczeństwo

Google otwiera się na Security Key - dwuetapową weryfikację

przeczytasz w 1 min.
Wojciech Kulik | Redaktor serwisu benchmark.pl
51 komentarzyDyskutuj z nami

Po wpadce Apple firma Google robi co może, aby maksymalnie zwiększyć bezpieczeństwo użytkowników w sieci.

Security Key

Po wpadce Apple firma Google robi co może, aby maksymalnie zwiększyć bezpieczeństwo użytkowników w sieci. Od jakiegoś czasu możemy już korzystać z dwuetapowej weryfikacji polegającej na potwierdzeniu swojej tożsamości poprzez przepisanie kodu wysyłanego na naszego smartfona (poza – oczywiście – wpisaniem hasła). Teraz gigant z Mountain View otworzył się na jeszcze bezpieczniejsze rozwiązanie – Security Key.

Security Key to nieco inna forma dwuetapowej weryfikacji. Ponownie wymagane jest wpisanie hasła, jednak zamiast przepisywania kodu potwierdzającego tożsamość, użytkownik musi podpiąć do komputera (lub innego urządzenia) fizyczny klucz – przeważnie dostępny w formie gadżetu USB. W rezultacie więc po pierwsze nie musimy dbać o to, by mieć naładowany telefon, a po drugie – nie musimy obawiać się o drogie SMSy w przypadku przebywania za granicą kraju.

Rozwiązanie Security Key to jednak przede wszystkim zwiększone bezpieczeństwo. Samo nasze hasło jest właściwie bezużyteczne i to samo tyczy się zewnętrznego klucza USB. Warto w tym miejscu podkreślić, że firma Google zdecydowała się na pełną zgodność z otwartym standardem FIDO, co sprawia, że nie powinno być żadnych problemów z kompatybilnością. Jedyny wymóg to przeglądarka Google Chrome (w wersji 38 lub nowszej).

Security Key Polska

No tak, ale mamy tutaj do czynienia z zewnętrznym urządzeniem, musimy więc za swoje bezpieczeństwo dodatkowo zapłacić. Ile? To zależy – ceny wahają się jednak od 6 do 50 dolarów. Czy to dużo? Niech każdy zdecyduje o tym sam.

Źródło: Google Online Security Blog, The Verge

Komentarze

51
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    4
    Ale jakie drogie SMSy pozagranicami kraju ? Za odebranie sie nie płaci
    • avatar
      Abgan
      2
      2-etapowe logowanie do Google z apką Google Authenticator, nie wymagającą transferu danych ani czekania na SMS działa przynajmniej półtora roku. Miałem to spięte na poprzednim telefonie, użyty protokół też jest otwarty, korzysta z niego m.in. Dropbox i LastPass.

      Jedyna nowość w tym newsie to możliwość użycia innego źródła kodu jednorazowego - sprzętowego klucza USB. IMO dla posiadacza smartfona/tabletu Authenticator jest lepszy. Klucz można przez roztargnienie zostawić wetknięty w port USB, albo gdzieś obok komputera. A kto dzisiaj wychodzi z domu bez telefonu? :-)
      • avatar
        kitamo
        1
        przewiduje za chwile klucze w formie bizuterii ktora stanie sie niesamowicie modna ;)
        • avatar
          wofwof
          1
          Jak będzie wyglądało logowanie się na smartphonie?
          • avatar
            Konto usunięte
            0
            To jest furtka do Googla , obowiązkowo to trzeba mieć hehe
            • avatar
              Konto usunięte
              0
              I to rozumiem - znowu przybłęda ledwo co się odezwała a już porządek sprowadzony - brawa admini :D Czyli można jeszcze komentarze czytać.
              • avatar
                cura666
                -1
                Niedługo trzeba będzie sobie gumę na łeb zakładać :-(
                • avatar
                  limera1n
                  -2
                  że niby mam sobie kupić jakiś klucz od googla? czemu nie można do tego uzyć zwykłego pendrive'a?
                  • avatar
                    Konto usunięte
                    0
                    "Jedyny wymóg to przeglądarka Google Chrome (w wersji 38 lub nowszej)."

                    Bardzo sprytny sposób na promocję własnej przeglądarki od firmy Google.
                    • avatar
                      Konto usunięte
                      0
                      Praktycznie każde zdanie które napisałeś ma jakiś fałsz.

                      > Czym się różni seed od google w apce auth
                      > od seeda w SecurityKey, który przecież podajes
                      > z Google'owi przy parowaniu urządzenia z kontem?

                      tym, że SecurityKey nie używa seed. Security key (w sensie U2F, o których mowa) sam w środku generuje dwie pary kluczy - prywatny i publiczny oraz dodatkowo key handle. Prywatny nigdy nie opuszcza tego dongla, a elektronika powinna być tak zabezpieczona że przy próbie dostępu do urządzenia powinien się wyzerować.

                      > Nie znalazłem w setupie konta Google możliwości wyjęcia
                      > tego samego seeda 2 razy dla danego konta. Poza tym
                      > - ja go nie znam przecież :-) Nie mogę zapisać go na
                      > kartce, którą zgubię, nie mogę go przez pomyłkę nikomu
                      > wyjawić... nawet skopiować nie mogę (pewnie
                      > można sklonować całą pamięć telefonu
                      >, razem z jego UID...

                      NIE - Seed w google auth możesz zapisać na kartce. Dostajesz go w formie qr code lub string. Forma jest bez znaczenia - wychodzi na to samo - seed jest znany użytkownikowi. Czyli jest "what you know", udające "what you have".